Chi c’è dietro l’attacco informatico nei confronti di Westpole che ha coinvolto oltre mille enti pubblici italiani ha un nome: Lockbit, un gruppo criminale che in passato è stato responsabile nel 2021 del grave attacco informatico nei confronti della Regione Lazio.
Chi c’è dietro LockBit?
Attivi dal 2019, si definiscono apolitici e di non avere a cuore nient’altro che il business come recita la loro frase con cui si presentano ai potenziali affiliati sul proprio blog, raggiungibile tramite il software Tor.
“Siamo solo interessati ai soldi per il nostro innocuo e utile lavoro. Tutto quel che facciamo è fornire formazione pagata agli amministratori di sistema sparsi per il globo su come impostare una rete aziendale in maniera corretta”, aggiungendo: “non prenderemo mai parte, in nessuna circostanza, a cyber attacchi a infrastrutture critiche di alcun Paese del mondo o parteciperemo a un conflitto internazionale”.
Il gruppo opera con il metodo “ransomware as a service”, ovvero si appoggia a piattaforme ransomware (che cos’è) da cui acquisisce servizi di intrusione via via più sofisticati a seconda della piattaforma da violare. A comporre Lockbit sono circa 100 persone che dividono i compiti. C’è chi sviluppa il malware, c’è chi trova i punti di accesso e c’è chi invece effettua l’attacco utilizzando il malware sviluppato dai primi.
LockBit è composto da due crew:
- L’hub di criminali informatici che si occupa di sviluppare il Ransomware as a service (RaaS).
- Gruppo di affiliati che si occupa dell’“amministrativo”, che chiede il riscatto in base alla dimensione e al fatturato dell’azienda. Una volta ottenuto il pagamento del riscatto, gli affiliati trasferiscono, in genere, il 60-70% agli sviluppatori del RaaS.
Il loro punto di forza è la piattaforma Lockbit 3.0
LockBit 3, il nuovo gioiello della gang, presentato lo scorso giugno, introduce diverse novità, come una piattaforma di bug-hunting relativa alle infrastrutture utilizzate dalla gang, l’acquisto di criptovaluta, una nuova sezione per gli affiliati e ulteriori modi per monetizzare che possono essere sintetizzate in:
- Estensione del “countdown”: la vittima può pagare dei soldi per estendere il countdown per la pubblicazione dei dati;
- Distruzione di tutte le informazioni: la vittima può pagare per distruggere tutte le informazioni esfiltrate dalla sua organizzazione;
- Download dei dati in qualsiasi momento: la vittima può pagare per ottenere l’accesso al download esclusivo di tutti i dati esfiltrati dell’azienda.
Ovviamente il costo per ogni tipologia di “servizio” è differente e si può pagare in Bitcoin o in Monero.
A livello tecnico, i criminal hacker di Lockbit si infiltrano nelle reti molto prima di lanciare il ransomware. In certi casi anche due o più settimane. Dopo aver effettuato una serie di movimenti nella rete e prelevato i dati, l’ultima attività che svolgono è il lancio del ransomware. Lockbit ha uno tra i ransomware più veloci tra tutti, in quanto utilizza una «cifratura a blocchi» dei file e impiega molto meno tempo rispetto ad altre controparti. Meno tempo impieghi a cifrare le macchine, più ne cifri.
Una cyber gang attenta alle pubbliche relazioni
“LockBit è organizzata meglio di molte società lecite”, ha detto al Financial Times Shmuel Gihon, ricercatore della società di sicurezza informatica CyberInt. “Sono professionali, si preoccupano delle pubbliche relazioni, focalizzandosi su prodotti e affari, e tenendosi alla lontana dalla politica”.
L’impronta imprenditoriale ha tante declinazioni. Una è l’attenzione, quasi maniacale, che la gang dedica ad alimentare il proprio brand e la propria reputazione, screditando sistematicamente i rivali, ad esempio attaccando una gang che aveva preso di mira un ospedale. L’altro aspetto importante è il reclutamento di nuovi, e talentuosi, cyber criminali. Un esempio è il programma di bug bounty, il primo lanciato da una gang ransomware, con cui il gruppo ha deciso di offrire una ricompensa a chi fosse stato in grado di individuare delle vulnerabilità nel proprio malware.
Secondo le ultime analisi, Lockbit avrebbe guadagnato un miliardo di dollari colpendo 12.125 aziende.
