La lettera con cui LockBitSupp ha annunciato il ritorno

In inglese e in russo. Un lungo discorso che, a tratti, assomiglia molto a un comizio elettorale. O a una dichiarazione di guerra. Si tratta di uno dei post che, attualmente, sono comparsi sul portale di LockBitSupp nel dark web, in risposta alle dichiarazioni dell’FBI che, solo una settimana fa, aveva annunciato – con toni trionfalistici – di una grande operazione internazionale di polizia (che aveva coinvolto anche l’Europol e NCA del Regno Unito) contro una delle gang ransomware più pericolose e organizzate al mondo. La lettera di LockBitSupp è piena di suggestioni che meritano di essere approfondite e analizzate.

LEGGI ANCHE > Come volevasi dimostrare: il mostro di LockBit è tornato

Cosa c’è scritto nella lettera di LockBitSupp e perché è importante per capire i rapporti di forza

Innanzitutto, quella più “etica” (anche se qui stiamo parlando a tutti gli effetti di una sorta di “codice d’onore” della criminalità). LockBit ha evidenziato le sue colpe nelle intrusioni che le forze dell’ordine hanno fatto nel loro sistema, spiegando: «A causa di una negligenza personale e della mia irresponsabilità, mi sono rilassato e non ho aggiornato PHP in tempo». In seguito a questo mancato aggiornamento (ravvisato in un precedente malfunzionamento del sito che è stato preso sottogamba), LockBit si è visto “invadere” dalle forze dell’ordine di mezzo mondo: FBI, Europol e NCA hanno ottenuto l’accesso ai server di amministrazione e al pannello di chat delle vittime, oltre che al server del blog dal quale LockBit lanciava le sue rivendicazioni.

La mancata spiegazione di una vulnerabilità (che LockBit ha esteso anche a chi si dovesse trovare a utilizzare un sistema simile) è ciò che viene sempre più spesso contestato ad aziende e pubbliche amministrazioni che sono state, in passato, vittime degli hacker. Questa assunzione di responsabilità da parte di LockBit ha mandato letteralmente in estasi tutti gli osservatori, che hanno riconosciuto alla gang ransomware una certa onestà intellettuale che troppo spesso manca a chi perde dati da quest’altro lato dello schieramento.

Secondo LockBit, l’azione delle forze dell’ordine è stata propedeutica alla presunta circolazione (sulla quale, però, non ci sono conferme, se non quelle contenute all’interno della lettera di LockBitSupp) di materiali su Donald Trump che potrebbero avere un impatto sulle elezioni americane del prossimo novembre. Tuttavia LockBitSupp ha anche fatto un endorsement politico, affermando che – in quella tornata – lui (o – a questo punto – la sua organizzazione) appoggerà proprio il candidato repubblicano. Non è da escludere che, come avvenuto in passato, alcune dichiarazioni di LockBit siano fortemente esagerate e che abbiano un intento sarcastico.

«Personalmente – ha spiegato LockBitSupp – voterò Trump perché la situazione al confine con il Messico è una specie di incubo: Biden dovrebbe andare in pensione, è un burattino. Se non fosse stato per l’attacco dell’FBI, i documenti sarebbero stati rilasciati lo stesso giorno, perché le trattative si erano bloccate, subito dopo che il partner aveva pubblicato il comunicato stampa sul blog, all’FBI non piaceva davvero che il pubblico scoprisse la verità. Se non fosse stato per la situazione elettorale, l’FBI avrebbe continuato a restare sul mio server in attesa di indizi per arrestare me e i miei soci».

In questa parte della lettera, ci sembra di intravedere una sorta di struttura dell’organizzazione, dal momento che l’autore del post parla non più soltanto in prima persona, ma fa riferimento anche ad altre persone o entità. Più avanti, poi, si spiegherà che le operazioni che sono state portate avanti da parte delle forze dell’ordine riguardano esclusivamente dei pesci piccoli o persone che hanno una labile attinenza con la gang ransomware. Da questo momento in poi, LockBitSupp ha affermato di doversi concentrare sempre di più sui portali .gov e di insistere con maggiore forza su questi obiettivi. Mentre ha spiegato nel dettaglio i contenuti dei materiali che sono risultati accessibili alle forze dell’ordine dopo la violazione. Infine, ha motivato il ritorno in attività dopo 4 giorni, minimizzando quello che invece il pool internazionale sostiene: secondo LockBitSupp si è trattato semplicemente del tempo tecnico per ripristinare una incompatibilità sui propri sistemi rispetto all’ultimo aggiornamento; secondo le forze dell’ordine, la pausa di qualche giorno era dovuta al colpo subito dall’organizzazione. Ma le rivendicazioni delle ultime ore fanno davvero propendere, a questo punto, per la prima ipotesi.