La banda criminale LockBit, nota per il suo coinvolgimento nell’estorsione di dati delle vittime, è stata colpita da un’operazione di rara portata internazionale condotta dalla National Crime Agency britannica e dal Federal Bureau of Investigation degli Stati Uniti, secondo quanto riportato in un post sul sito di estorsione della banda nella serata di ieri.
“Il sito è ora sotto il controllo della National Crime Agency del Regno Unito, che lavora in stretta collaborazione con l’FBI e il gruppo internazionale di forze dell’ordine in un’azione congiunta nota come Operazione Cronos”, si legge nel post.
Un portavoce della NCA ha confermato che l’agenzia ha colpito la banda e ha dichiarato che l’operazione è “in corso e in sviluppo”.
Paolo Passeri, Cyber Intelligence Specialist di Netskope, sentito da Cybersecurity360, sottolinea, invece, come: “Con questa nuova operazione, che fa seguito ad altri sequestri di siti web di bande ransomware come ALPHV/BlackCat e Hive, è chiaro che le forze dell’ordine stanno adottando un approccio più aggressivo per interrompere le operazioni dei gruppi criminali informatici. Il coinvolgimento di così tante agenzie in quest’ultima operazione testimonia da un lato la crescente sofisticazione di queste reti criminali e dall’altro l’intensa collaborazione difensiva in atto tra vari Stati”.
Un’altra buona notizia, secondo Selena Larson, senior threat intelligence analyst di Proofpoint, è che “due presunti componenti del gruppo LockBit sono stati arrestati, fattore che di solito comporta un’interruzione a lungo termine e la possibilità di approfondire i meccanismi interni dell’organizzazione criminale”.
Ma forse, l’aspetto più importante per le aziende vittime del gruppo, continua ancora la Larson, “è che le chiavi di decrittazione sono state recuperate e pubblicate dalle forze dell’ordine, fattore che porterà sollievo immediato a chi sta cercando di recuperare i propri dati crittografati da LockBit. Inoltre, il congelamento di oltre 200 conti di criptovaluta legati alle attività della gang limiterà la capacità degli attori di accedere al denaro, ostacolando ulteriormente le loro operazioni, e le sanzioni imposte del Tesoro degli Stati Uniti potrebbero avere un impatto sulla decisione delle aziende di pagare o meno future richieste di ransomware”.
Indice degli argomenti
LockBit: la famigerata gang ransomware colpita al cuore
LockBit e le sue affiliate hanno hackerato alcune delle più grandi organizzazioni del mondo negli ultimi mesi. La banda guadagna rubando dati sensibili e minacciando di divulgarli se le vittime non pagano un riscatto esorbitante. Le affiliate sono gruppi criminali simili reclutati dalla banda per condurre attacchi utilizzando gli strumenti di estorsione digitale di LockBit.
(fonte immagine: Ransomfeed.it)
Venti siti Web sotto rete Tor, attualmente conosciuti come afferenti al gruppo LockBit, non rispondono più se interrogati e tutti presentano la medesima pagina di sequestro. Ricordiamo, inoltre, che a marzo 2023 il gruppo effettua un importante rebrand da LockBit2 a LockBit3, cambiando tutta l’infrastruttura e sostituendo tutti gli URL dei propri siti onion (rete Tor).
Il ransomware è un software dannoso che cripta i dati. Lockbit guadagna costringendo i propri obiettivi a pagare un riscatto per decrittare o sbloccare quei dati con una chiave digitale.
“Sono il Walmart dei gruppi di ransomware, gestiscono la cosa come un’azienda – questo è ciò che li rende diversi”, ha dichiarato Jon DiMaggio, chief security strategist presso Analyst1, una società di sicurezza informatica con sede negli Stati Uniti. “Sono probabilmente la più grande squadra di ransomware oggi”.
Interessante, però, quanto evidenziato ancora da Paolo Passeri di Netskope a Cybersecurity360: “C’è una certa ironia nelle tattiche utilizzate dalle forze dell’ordine per impossessarsi del sito web LockBit. Hanno sfruttato la vulnerabilità CVE-2023-3824 che colpisce PHP, usando quindi lo stesso metodo di sfruttamento delle vulnerabilità che è stato uno dei principali vettori di attacco utilizzati dal gruppo LockBit”.
“Questo deve servire alle aziende come promemoria per prendersi il tempo necessario per valutare e proteggere la propria infrastruttura, perché semplici errori operativi possono arrecare danni critici”, è il consiglio dell’analista di Netskope.
Attacchi ransomware alle aziende italiane oggi (in aggiornamento)
Cosa può succedere dopo la “scomparsa” del ransomware LockBit
L’azione congiunta delle forze dell’ordine britanniche e statunitensi contro LockBit rappresenta un importante colpo per la criminalità informatica transnazionale. L’operazione sottolinea l’importanza della cooperazione internazionale nel contrastare le minacce informatiche che possono avere gravi conseguenze per le organizzazioni e le persone colpite.
Gli esperti sottolineano che, nonostante questa interruzione, la minaccia del ransomware rimane alta e che è fondamentale che le organizzazioni adottino misure robuste di sicurezza informatica per proteggere i propri dati e prevenire attacchi simili in futuro.
Importante è, in questo senso, il richiamo di Chester Wisniewski, Director Global Field CTO di Sophos: “Lockbit è diventato il gruppo di ransomware più attivo da quando Conti ha abbandonato la scena a metà 2022. La frequenza dei loro attacchi, unita al fatto che non hanno limiti al tipo di infrastruttura da paralizzare, li ha resi anche i più pericolosi degli ultimi anni. Tutto ciò che interrompe le loro operazioni e semina sfiducia tra i loro affiliati è una grande vittoria per le forze dell’ordine. Non dovremmo però festeggiare troppo presto. Gran parte della loro infrastruttura è ancora online, il che probabilmente significa che è al di fuori della portata delle forze dell’ordine e che i criminali non sono stati arrestati”.
Secondo le analisi del team Sophos X-Ops Incident Response, dal 2020 LockBit si è posizionato saldamente tra i dieci gruppi ransomware più attivi; con la scomparsa di Conti all’inizio del 2022, LockBit è balzato in cima alla classifica.
Ransomware LockBit colpito al cuore: il parere degli esperti
“Si tratta certamente di una vittoria per coloro che cercano di combattere la minaccia ransomware a livello macro e sistemico, ma non eliminerà del tutto questa minaccia”, sottolinea Paolo Passeri, che aggiunge: “Proprio come i criminali informatici continuano ad adattare, coordinare ed evolvere le proprie capacità offensive, allo stesso modo l’industria privata e le organizzazioni governative devono evolvere le capacità difensive. Dobbiamo continuare a costruire e far crescere queste relazioni internazionali e ad accelerare la collaborazione a tutti i livelli per affrontare la minaccia globale rappresentata dalle bande ransomware”.
Tuttavia, sottolinea l’analista Selena Larson di Proofpoint, “è troppo presto per dire con certezza quale sarà l’impatto generale. Vale la pena notare che le interruzioni delle operazioni di criminalità informatica, pur fornendo risorse alle vittime e imponendo costi significativi agli avversari, non sradicano completamente il problema. Ad esempio, l’interruzione nell’agosto 2023 della botnet Qbot non ha fermato le attività di uno dei più importanti distributori di questo malware (TA577), che si è spostato su un altro malware per continuare le sue attività di accesso iniziale”.
Secondo, la specialista in threat intelligence, “attualmente assistiamo a un aumento di sperimentazione, flessibilità, creatività e sofisticazione delle catene di attacco da parte degli Initial Access Brokers (IAB), ovvero attori la cui attività può portare al ransomware. Questo include tutto, dal miglioramento dell’ingegneria sociale, all’utilizzo di tipi di file insoliti, allo sfruttamento di CVE, al concatenamento di file di scripting e molto altro ancora. Gli attori IAB e ransomware stanno anche sfruttando le vulnerabilità 0-day e n-day, sviluppando nuove e aggressive tecniche di social engineering e utilizzando strumenti di hacking pubblicamente disponibili per accedere alle aziende”.
Non sottovalutiamo le capacità di adattamento dei gruppi ransomware
Insomma, un’altra battaglia è vinta ma la guerra al ransomware è ancora lunga ed è bene tenere sempre alta la guardia. Ce lo ricorda anche Richard Cassidy, Field CISO di Rubrik, secondo cui “sebbene le operazioni del gruppo LockBit appaiano compromesse per un periodo indefinito, non dobbiamo sottovalutarne la capacità di adattamento. Questi gruppi hanno sempre dimostrato una notevole capacità di adattarsi alle azioni delle forze dell’ordine, di far evolvere le loro tattiche e di continuare le loro operazioni, a volte sotto nuove spoglie. Abbiamo già visto in passato prove di resilienza da parte di gruppi di ransomware colpiti dalle forze dell’ordine, ad esempio Hive, ALPHV/BlackCat e l’evoluzione da DarkSide a BlackMatter, che hanno mostrato la capacità dei gruppi di criminali informatici di riprendersi, ribattezzarsi e integrarsi in reti nuove o esistenti, sfruttando il supporto dell’ecosistema ransomware-as-a-service”.
“Dovremmo chiederci”, continua ancora Richard Cassidy, “se le risorse finanziarie di gruppi come LockBit siano in realtà più ampie rispetto a quelle delle forze dell’ordine che operano per distruggerli. LockBit ha una posizione finanziaria estremamente solida grazie al successo delle sue operazioni, avendo raccolto circa 91 milioni di dollari solo dalle aziende statunitensi, quindi ha il potere economico di riorganizzarsi e sviluppare nuove tattiche, tecniche e procedure, evolvendo e imparando dagli errori che ne hanno portato alla distruzione, reinventando così il suo approccio, se necessario”.
“La natura ciclica delle interruzioni da parte delle forze dell’ordine e della ricomparsa dei gruppi ransomware”, conclude l’analista di Rubrik, “indica un problema più ampio all’interno dell’ecosistema della criminalità informatica, che riguarda fondamentalmente i fattori alla base degli attacchi ransomware, come gli obiettivi finanziari, il relativo anonimato delle transazioni in criptovaluta e la scoperta infinita di vulnerabilità non ancora risolte. Fino ad allora possiamo aspettarci che il ciclo di interruzioni e ritorni continui anche nel prossimo futuro”.
