Il gruppo criminale LockBit è stato interessato da un furto di dati che ha fatto trapelare online materiale interno utile all’analisi sui propri strumenti di attacco. È infatti trapelato su GitHub, a seguito del data breach, un eseguibile del builder, il software completo di crittografia e decrittografia utilizzato dal gruppo ransomware.
Indice degli argomenti
LockBit ha subito un attacco dall’interno
A giugno il gruppo criminale informatico, considerato tra i più prolifici e organizzati al mondo, ha aggiornato la propria infrastruttura alla versione 3.0, rimodulando una serie di nuove funzionalità tra cui BugBounty, nuova interfaccia Web e nuovo software malware.
Dopo tre mesi questi sforzi vengono quasi azzerati dal brusco intervento portato avanti da uno dei suoi collaboratori interni, un programmatore.
Come raccontato da un portavoce del gruppo stesso su uno dei forum underground, il programmatore era scontento per l’ultima proposta di trattamento economico intrapresa con i vertici del gruppo. Questo malcontento ha fatto sì che, dopo poche ore, lo sviluppatore prendesse la decisione di lasciare per sempre il gruppo criminale LockBit, portando con sé però il costruttore eseguibile (builder) del ransomware, completo di tutte le funzionalità, che ora è disponibile per tutti su GitHub.
È bene dunque precisare che non si è trattato di un attacco contro i server di LockBit o che l’infrastruttura criminale sia stata in qualche modo violata. Si tratta di un leak informativo, su materiale che il programmatore accedeva per “contratto” con la cyber gang.
Le implicazioni del leak a LockBit
Questa operazione sicuramente non fermerà le attività del gruppo criminale che, come sostiene il portavoce stesso, fa solo da ispirazione per cercare nuovi collaboratori e programmatori capaci, di modo da aggiornare il proprio software con una nuova versione del ransomware.
Ha però conseguenze più gravi, perché ora il costruttore LockBit 3.0 è a disposizione di qualsiasi altro cyber criminale che, come hanno scoperto i ricercatori, potrebbe sfruttarlo per avviare le proprie operazioni criminali creando ad esempio un encryptor, un decryptor e gli strumenti specializzati per eseguirlo.
In particolare, il costruttore è costituito da quattro file, un generatore di chiavi di crittografia, un builder, un file di configurazione modificabile e un file batch (“.bat”) per creare tutti i file (maker).
L’utilizzo che si può fare di questo materiale, come detto, è unicamente quello di intraprendere nuove operazioni criminali ransomware, con un software già pronto all’uso. Non è utilizzabile, al momento, per decriptare qualsiasi file vittima di LockBit in quanto sprovvisto di chiavi crittografiche che, a detta del gruppo stesso, sono ben custodite nei propri server.
È invece utile a generarne di nuove, su altro server, da utilizzare quindi ex novo per criptare e poi eventualmente decriptare altri file vittima di attacco.
Tra questi strumenti, il decryptor è stato oggetto di analisi da parte dell’italiana Swascan che ne ha diffuso un recente report dettagliato.
Cosa può succedere ora
“La notizia di questo leak potrebbe sembrare, a prima vista, un colpo di fortuna”, commenta Pierguido Iezzi, CEO di Swascan, sottolineando che “LockBit, nella sua ultima incarnazione 3.0 era rapidamente divenuto tra i più prolifici threat actor del panorama ransomware mondiale. Ma sfortunatamente questo non è solo un duro colpo per i criminal hacker che compongono la gang, ma rischia di esserlo anche per le aziende, che potrebbero vedere aumentare il numero di attacchi causati da altri nascenti gruppi di ransomware gang in grado utilizzare questo codice per crearne altre versioni”.
L’esperto, infatti, fa notare che “il codice trapelato consente, tramite semplici comandi, di creare una coppia di Encryptor e Decryptor “unica” pronta all’uso per attaccare nuove vittime”.
La cyber gang non sembra quindi particolarmente preoccupata dall’accaduto, anche se è doveroso notare come da ormai diverse ore il sito Web del gruppo LockBit 3.0 non risulta accessibile, in tutti i suoi mirrors. Presumibilmente oggetto di manutenzione in vista del nuovo upgrade infrastrutturale. Dovremo aspettarci dunque un LockBit 4.0 nel breve periodo?
A farne davvero le spese saranno invece, come sempre, le vittime finali, in quanto ci sarà fisiologicamente un aumento degli attacchi ransomware da parte di gruppi criminali diversi (anche nuovi) che, a partire da questo materiale, personalizzeranno i loro strumenti di attacco, sostanzialmente senza spesa alcuna.
