LockBit: questi difetti potrebbero abbattere la gang ransomware più prolifica di sempre

E se il prossimo obiettivo fosse la banda di ransomware LockBit? 

Dopo l’annuncio dello smantellamento delle infrastrutture cybercriminali di Hive, a seguito di una spettacolare operazione internazionale guidata dagli Stati Uniti, tutti gli occhi sono puntati su LockBit.

Questa banda, è infatti l’organizzazione più attiva del momento in termini di ransomware. Il ransomware as a service (RaaS), affitta a pagamento l’accesso al suo malware agli affiliati, è riuscito mescolando innovazione, marketing aggressivo e opportunismo, a distinguersi. Il che naturalmente lo rende la priorità informatica per la polizia di tutto il mondo.

Di certo, per Jon DiMaggio, è improbabile un arresto dei capi della banda. Ma per questo esperto di Analyst1, azienda americana specializzata in intelligence sulle minacce informatiche, questi cybercriminali dall’ego sproporzionato e dagli eccessi già noti non sono intoccabili. 

In un affascinante reportage sul funzionamento di LockBit, elenca le falle che un giorno potrebbero far cadere l’organizzazione criminale dal suo piedistallo.

Infiltrazione

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Innanzitutto, l’indagine di Jon DiMaggio mostra che questa banda può essere infiltrata. Come spiega a The Record, l’analista si è semplicemente candidato per essere un affiliato del gruppo. E alla fine del suo test di valutazione, che è stato inconcludente, è riuscito a rimanere nel loro canale di messaggistica Tox, una specie di Skype crittografato. Ciò ha permesso all’investigatore di Analyst1 di seguire alcuni degli scambi del gruppo. Quindi, affermando di essere un subappaltatore di lingua tedesca, si è impegnato direttamente in una conversazione con LockBitSupp, i presunti capi del gruppo – crede che due persone si stiano probabilmente alternando dietro questo account.

Tanti elementi accumulati in diversi mesi, con messaggi pubblici postati sui forum dei cybercriminali, che hanno permesso a Jon DiMaggio di individuare alcuni tratti caratteristici. Quindi, per l’esperto, il capo della banda è probabilmente un uomo che vive in Russia o nell’Europa dell’Est e che, in fondo, non è molto felice. E se quest’ultimo afferma di non vivere nel paese di Vladimir Putin e di avere per esempio partecipazioni in due ristoranti di New York, è prima di tutto per coprire le tracce.

Inimicizie tra i criminali informatici

Ma l’esperto insiste anche sul narcisismo e sulla sete di vendetta dei criminali di LockBit. Questa ricerca di notorietà è già ben documentata. Il gruppo aveva così lanciato un atipico concorso estivo, nel giugno 2020, destinato a premiare gli approcci innovativi alla pirateria, e pagava anonimi che si tatuavano sulla pelle il nome della banda. Leadership e “buffonate pubbliche” che stancano i criminali informatici, giudica Jon DiMaggio.

Tanto più che questa voglia di far rumore si concretizza anche sotto forma di campagne diffamatorie lanciate contro i rivali. La banda ha vissuto scontri interni, come testimoniano le polemiche sullo “sviluppatore ubriaco”. 

Nel settembre 2022, la banda ha attribuito la fuga del codice sorgente del malware a un programmatore con problemi di alcol. Per Jon DiMaggio, questo scienziato informatico in fuga è ora un “obiettivo di alto valore” per le forze dell’ordine, data la sua potenziale conoscenza dei meccanismi interni della banda. Ritiene quindi probabile che l’informatico ei suoi ex leader conoscano le rispettive identità.

Disinformazione e paranoia

Non sorprende che la paranoia sia comune tra i criminali informatici, LockBitSupp mette in risalto la sua sfiducia. Sostiene di tenere una fondamentale chiavetta USB in una collana di lana portata al collo, solo per poterla inghiottire velocemente in caso di arresto. Allo stesso modo, avrebbe usato la rete satellitare StarLink per rendere più difficile rintracciarlo.

Qualunque sia la veridicità di queste affermazioni, impossibili da verificare, ci ricordano che c’è un terreno fertile su cui lavorare. 

Uno degli assi più promettenti per ostacolare le azioni di LockBit, afferma Jon DiMaggio, sarebbe quindi lavorare sulle paure. Tali “operazioni di guerra dell’informazione, intese a iniettare propaganda e disinformazione nei forum del dark web”, spiega in conclusione, potrebbe consentire di seminare discordia tra i criminali informatici e spingerli all’errore.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.