Scatto matto a Lockbit: la gang cybercriminale che controlla uno tra i più diffusi ransomware degli ultimi anni è stata scoperta da un’operazione di polizia internazionale, condotta dalla National Crime Agency britannica in collaborazione con l’Europol, l’Fbi e agenzie nazionali francesi, tedesche, finlandesi, olandesi, svizzere, giapponesi e australiane. Battezzata “Operation Cronos”, questa azione coordinata ha permesso di ottenere controllo della "infrastruttura tecnica che permette a tutti gli elementi del servizio di Lockbit di funzionare, nonché del loro sito di leak nel dark web, che in passato ha ospitato i dati rubati alle vittime di attacchi ransomware”, si legge sul sito dell’Europol.
Due responsabili sono stati arrestati in Polonia e Ucraina, su richiesta delle autorità francesi, mentre tre mandati d’arresto internazionale sono stati emessi dalle autorità francesi e statunitensi. Le forze dell'ordine hanno congelato oltre 200 account di criptovaluta collegati all’organizzazione criminale.
Con Operation Cronos è stata raccolta una “grande quantità di dati” sul gruppo e sulle sue attività, dati che saranno utilizzati per risalire ai responsabili, ai “leader del gruppo ma anche agli sviluppatori, agli affiliati, all’infrastruttura e agli assetti criminali collegati”.
“Il sito è ora sotto controllo della National Crime Agency del Regno Unito, che sta lavorando a stretto contatto con l’Fbi e con la task force di polizia internazionale, Operation Cronos”, si legge sul sito Web in questione. Contattato da Reuters, un membro della gang ransomware non ha rilasciato commenti, ma “ha pubblicato messaggi su un’app di messaggistica crittografata, dicendo di avere server di backup non intaccati dall’azione di polizia”, riporta l’agenzia di stampa.
.A detta del sito di cybersicurezza Vx-underground, attraverso l’app di messaggistica crittografata Tox un membro di Lockbit, scrivendo in russo, avrebbe affermato che i server del gruppo sono stati colpiti dall’Fbi. Ma non tutti: soltanto le macchine basate su Php. I server di backup, che non utilizzano questo linguaggio di programmazione, sarebbero invece integri.
Passato e futuro di Lockbit
Non è chiaro quindi, al momento, se l’attività di Lockbit sia stata del tutto smantellata, né quante e quali persone siano ancora ricercate dalle forze dell’ordine. In ogni caso, è probabile che si ripeta quanto accaduto con lo smantellamento del gruppo Conti: il contraccolpo si è visto, perché nei mesi immediatamente successivi i monitoraggi hanno mostrato un calo numerico di infezioni ransomware rilevate. Ma si tratta, di solito, di un contraccolpo effimero, perché continuamente dalle ceneri di un gruppo smantellato ne nascono altri. Ed è possibile che per Lockbit accada la stessa cosa.
Osservato per la prima volta nel 2019, Lockbit è un collettivo cyber di lingua (e probabilmente di nazionalità) russa, che ha colpito direttamente o indirettamente decine di migliaia di organizzazioni appartententi a qualsiasi settore, dagli enti governativi ai trasporti, dalle scuole agli ospedali. I collegamenti con il governo russo non sono mai stati ufficialmente dimostrati, né rivendicati dai membri di Lockbit. Il modello di business di Lockbit si è basato soprattutto sulla rivendita di software malevolo ad attori terzi, che poi lo utilizzano per compiere attacchi: è lo schema del cosiddetto ransomware as-a-service. E si deve proprio a una delle varianti di Lockbit l’attacco che lo scorso dicembre ha colpito il system integrator Westpole e, tramite esso, ha raggiunto 1.300 enti della Pubblica Amministrazione italiana, fra cui moltissimi Comuni.