Redazione
Il pericoloso gruppo hacker di Lockbit, che ricatta ed estorce denaro ad imprese ed istituzioni con il ransomware Lockbit è stato bloccato stamani nel corso di un’operazione congiunta dei servizi di sicurezza americani e britannici insieme ad una coalizione di forze di polizia internazionali di Europol (fra cui Francia, Germania, Paesi Bassi, Svezia, Australia, Canada, Giappone, UK, USA e Svizzera).
LockBit è unanimemente riconosciuto come il ransomware più prolifico e dannoso al mondo che causa tuttora miliardi di euro di danni. Il bilancio, secondo la polizia europea Europol, è di quattro arresti (in Polonia, in Ucraina e due negli Stati Uniti), 14.000 account bloccati, 200 portafogli (wallet) di criptovalute sequestrati, il blocco del sito web principale del gruppo e di 34 server dislocati in vari Paesi nonché un mandato di arresto per due cittadini russi.
L’operazione “Cronos” è stata guidata dalla National Crime Agency (NCA) del Regno Unito, un’organizzazione dedicata alla lotta contro la criminalità organizzata; mentre il coordinamento europeo era affidato a Europol, l’agenzia delle forze di polizia europee.
La NCA è riuscita a battere il gruppo di hacker Lockbit sul suo stesso campo ossia prendendo il controllo della piattaforma e rubando i dati.
Il capo della NCA, Graeme Biggar, parla di una “rivoluzionaria interruzione del gruppo di criminalità informatica più dannoso del mondo. Grazie alla stretta collaborazione fra le diverse forze di polizia, abbiamo:
- preso il controllo dell’infrastruttura degli hacker,
- sequestrato il loro codice sorgente e,
- ottenuto le chiavi che consentono alle vittime (aziende ed istituzioni) di decrittografare e, quindi, liberare i loro sistemi senza pagare alcun riscatto”. Le chiavi sono state rese disponibili gratuitamente sul sito No More Ransom.
La NCA afferma di aver preso il controllo dell’ambiente di gestione primario di Lockbit, che permetteva agli hacker affiliati di lanciare attacchi ransomware. L’NCA ha preso il controllo anche del sito “pubblico” del gruppo sul dark web, che era utilizzato, fra l’altro, anche per rivelare i nomi delle imprese-vittime.
L’Europol riferisce che è stata raccolta una grande quantità di dati. Con questi la polizia intende rintracciare i leader del gruppo di hacker. I dati raccolti vengono utilizzati anche per dare la caccia agli sviluppatori, alle infrastrutture e agli asset che possono essere collegati alle attività criminali del gruppo.
Perché il ransomware Lockbit è così potente e pericoloso
Il ransomware Lockbit è stato sviluppato e utilizzato da hacker con legami molto stretti con la Russia; nel giro di pochi anni, sono diventati una delle bande di hacker più conosciute al mondo. Fra gli attacchi informatici dell’anno scorso è noto quello alla Boeing conclusosi con la pubblicazione dei dati interni sul dark web e quello alla Royal Mail britannica che ha causato gravi interruzioni dei servizi.
LockBit è emerso per la prima volta alla fine del 2019, in origine con il nome ransomware “ABCD“. È cresciuto rapidamente e, nel 2022 è diventato il ransomware più diffuso nel mondo. Il gruppo Lockbit svolge un’attività di “ransomware-as-a-service“; infatti, il team principale crea il suo malware e gestisce il proprio sito web, ma concede in licenza il suo codice agli affiliati che lanciano a loro volta gli attacchi informatici.
“Sono il Walmart dei gruppi di ransomware e lo gestiscono come un’azienda. Questo è ciò che li rende divers da tutti gli altri gruppi di hacker“, ha detto un esperto in strategie di sicurezza paragonando il gruppo con il gigante americano dei supermercati. “Sono probabilmente il più grande gruppo di ransomware esistente oggi “.
Vx-undergroud: ed i messaggi di Europol agli hacker Lockbit
Uno screenshot condiviso da vx-underground, un gruppo che diffonde informazioni su malware e sicurezza informatica, mostra il pannello di controllo utilizzato da Lockbit per lanciare i suoi attacchi informatici. Questo pannello di controllo è stato sostituito con un messaggio delle forze di polizia internazionali: “Abbiamo il codice sorgente, i dati delle aziende-vittime che avete attaccato, la somme di denaro estorto, i dati rubati, le chat e molto, molto altro“, si legge. “Forse vi contatteremo presto. Buona Giornata“.
Vx-underground condivide anche un messaggio del gruppo di hacker Lockbit. Un messaggio in russo, dove il gruppo afferma che “i server con i dati rubati sono intatti“. Purtroppo non è possibile verificare in modo indipendente se questo post sia stato veramente inviato da Lockbit.
Un grande risultato ed il pericolo “dell’Idra“
Le attività dei gruppi di hacker come Lockbit sono in gran parte invisibili perché molte delle aziende-vittime non vogliono comparire in pubblico per salvaguardare nome e, reputazione. Di conseguenza, è facile sottostimare l’enormità del problema del ransomware. Nel modo di operare di Lockbit è come se migliaia di aziende venissero attaccate e ricattate da una stessa banda, secondo gli esperti di sicurezza informatica i casi si contano a decine in tutti i Paesi.
Il fatto che la polizia sia riuscita a bloccare Lockbit è davvero una grande notizia: sia perché sono stati sequestrati i proventi depositati in 200 wallet di criptovalute sia perché la polizia è entrata in possesso di una grande quantità di chiavi digitali. Nonostante ciò, un po’ come il mostro mitologico a più teste, l’Idra, seppure l’infrastruttura del gruppo sia stata distrutta, i membri rimasti – non tutti sono stati arrestati – potrebbero riorganizzarsi e ricominciare da un altra parte la loro attività.
(1) Law enforcement disrupt world’s biggest ransomware operation, EUROPOL, 20-02-2024