Come volevasi dimostrare: il mostro di LockBit è tornato

Nel giro di circa 10 giorni, assistiamo al ritorno di Lockbit. La gang ransomware che, soltanto qualche tempo fa, era entrata nel mirino di un’azione congiunta di FBI, Europol e – soprattutto – della NCA del Regno Unito e che aveva subito l’oscuramento del proprio sito all’interno del dark web (con tanto di rallentamento delle proprie attività) sembra essere tornata nuovamente in azione. In base a quanto dichiarato dal gruppo, l’accesso delle forze dell’ordine alla sorgente del loro sito era stato effettuato sfruttando una vulnerabilità nel linguaggio di programmazione PHP. Tuttavia, è bastato qualche giorno al gruppo ransomware (che è molto radicato a livello globale e che, soprattutto, ha progettato un software che, ormai, è in possesso di diversi gruppi di cybercriminali) per riorganizzare la propria presenza sul dark web e dare nuova linfa alle loro azioni e rivendicazioni.

LEGGI ANCHE > La fine dei giochi per i cybercriminali di Lockbit

Come è stato riorganizzato il ritorno di Lockbit

Le spiegazioni su come sia stato possibile per le forze dell’ordine intercettare la precedente pagina web e altre dichiarazioni del tutto sconclusionate sull’attuale situazione politica americana (il nuovo user si è detto simpatizzante di Trump, ma sappiamo bene quanto possano essere sarcastici i toni dei comunicati stampa o presunti tali attribuibili al gruppo) è stata data da un certo LockBitSupp, la cui identità – ovviamente – non può essere nota. Così come non è chiaro se, effettivamente, LockBitSupp sia un’unica persona o sia l’estensione di un gruppo organizzato.

Secondo quanto raccolto da Ransomfeed, tra il 25 e il 26 febbraio il nuovo Lockbit ha rivendicato ben otto azioni contro soggetti industriali statunitensi:

Da quando è ritornato operativo, #Lockbit ha pubblicato 8 nuove rivendicazioni.
Se, come afferma, @FBI sa chi è #LockSupp, #Lockbit sa cosa sono gli #USA: un pozzo di petrolio (dati) da cui continuare a pompare denaro.
Da inizio 2024 (ad oggi), Lockbit ha pubblicato 154… pic.twitter.com/Kwv6XrvIub

— Claudio (@sonoclaudio) February 27, 2024

Questo significa che, al di là dei formalismi e della riorganizzazione intorno a un user specifico, il gruppo è tornato a essere pervasivo. O, forse, non ha mai smesso di esserlo, dal momento che il suo ransomware-as-a-service è diffuso a livello globale e viene utilizzato spessissimo da altri gruppi di cybercriminali. Le autorità, in ogni caso, restano ottimiste, dal momento che con la “violazione” del precedente sito di Lockbit sul dark web si sono rivelate in grado di ottenere dei grandi volumi di informazioni su come agisce il gruppo. Qualche dichiarazione dell’FBI, poi, ha lasciato trapelare anche che le autorità siano a conoscenza di ulteriori dettagli su LockBitSupp. Ma – come abbiamo visto – sgominare una gang ransomware di questa portata, così aggressiva e con un piano strategico così ben architettato non è facile.