Chi è LockBitSupp?

Per la foto di questo approfondimento siamo caduti nel solito cliché fotografico della persona, di cui non si vede il volto, che indossa una felpa con il cappuccio. Così, solitamente, vengono “identificati” – nel gergo comune – gli hacker (sia buoni, sia cattivi) che, per loro natura, vivono nell’ombra digitale, agiscono e si interfacciano attraverso i lati più oscuri della rete. Come nel caso di LockBitSupp, il nickname dietro cui si cela quella che sembra essere la mente di LockBit e della maggior parte degli attacchi ransomware.

LEGGI ANCHE > Come volevasi dimostrare: il mostro di LockBit è tornato

È sua la firma sulla lettera pubblicata qualche giorno dopo il blocco e la presa di controllo dell’infrastruttura di LockBit da parte della National Crime Agency britannica. È suo il nome che riporta alla riapertura di un nuovo sito sul darkweb. Sono sue le principali interazioni sui forum. Insomma, la firma di LockBitSupp è presente ovunque e in quasi tutte le rivendicazioni (anche le più recenti) fatte dall’organizzazione internazionale (che agisce proprio come un collettivo, con un fulcro centrale e una lunga serie di affiliati). Una sorta di vertice di una piramide che ha anche la funzione di “portavoce” o ufficio stampa della gang. Ed è proprio lui ad aver parlato del possesso di documenti importanti, sottratti alla Contea di Fulton, sull’indagine nei confronti di Donald Trump.

LockBitSupp, chi è la “mente” che controlla Lockbit

Sia NCA che FBI, sostengono di avere molte informazioni sulla persona che si cela dietro a quel nickname. Anzi, dicono di esser praticamente certi di conoscerne l’identità. Questo si evince dal messaggio pubblicato all’indomani dell’Operazione Cronos, quando le autorità presero il controllo di quella che era l’infrastruttura e la piattaforma di data leaks utilizzata dall’organizzazione.

«Ha detto di vivere negli Stati Uniti… non è così. Ha detto di vivere nei Paesi Bassi… non è così. Ha detto di avere una Lamborghini… lui guida una Mercedes (anche se i pezzi potrebbero essere difficili da reperire). Noi sappiamo chi è. Noi sappiamo dove vive. Noi sappiamo qual è il suo valore. Ha collaborato con le forze dell’ordine». Questo il messaggio pubblicato da NCA, FBI ed Europol dopo l’Operazione Cronos. E allora, se sta realmente collaborando con le autorità, come ha fatto LockBit a tornare online e pubblicare nuove rivendicazioni e messaggi sul ritorno in attività?

Più personalità

In realtà, dietro quel nickname sembrano esserci (e probabilmente è così) più persone. Anime diverse della stessa organizzazione. A evidenziare questa possibilità è stato Jon Di Maggio, Capo stratega della sicurezza di Analyst1. Lui stesso si è trovato a dialogare più volte, attraverso Tox (il servizio di messaggistica criptata utilizzata anche da LockBit), con questo account. E lì ha notato atteggiamenti e personalità differenti. Dal più rigido e intransigente (con tanto di punte di razzismo e sessismo) che sembra essere uno dei leader della cybergang, a chi è più morbido, flessibile e “giocoso”. Dunque, quell’account che rappresenterebbe la voce dei capi di LockBit è un megafono comune utilizzato dall’organizzazione. Difficile, dunque, capire se l’identità di cui è in possesso NCA, FBI ed Europol sia riferibile a più persone.