Cosa sta accadendo alla cyber-gang LockBit? Una analisi underground

Alessio Stefan : 7 Agosto 2024 08:11

LockBit sta sicuramente cercando in tutti i modi di riottenere quella immagine inscalfibile che si è persa man mano dall’inizio dell’anno 2024, persino gli ex-affiliati del gruppo RADAR & DISPOSSESSOR hanno confermato come molte dichiarazioni fatte dal RaaS siano state tutt’altro che veritiere (recuperate la intervista inedita di RHC dove se ne è parlato nello specifico). Opportuno ricordare come dopo Operation Cronos LockBitSupp, l’admin del gruppo, abbia dichiarato di voler attaccare sempre più bersagli e non fermarsi nonostante il colpo ricevuto. In questo articolo andremo a fare una breve analisi sulle ultime notizie ed attacchi rigurdante il RaaS #1 e se le promesse post-Cronos sono state mantenute.

Alleanza con RansomwarePlay?

Nelle scorse settimane sono circolate sul canale telegram PLAY NEWS (ransomware) delle chat tra, presumibilmente, RansomwarePlay e LockBitSupp. Come gia descritto in precedenza, LockBit ha fatto uno statement pubblico dove veniva annunciato un canale di comunicazione diretto con LBSupp e che chiunque avrebbe ricevuto risposta.

Prompt Engineering & Sicurezza: diventa l’esperto che guida l’AI Vuoi dominare l’AI generativa e usarla in modo sicuro e professionale? Con il Corso Prompt Engineering: dalle basi alla cybersecurity, guidato da Luca Vinciguerra, data scientist ed esperto di sicurezza informatica, impari a creare prompt efficaci, ottimizzare i modelli linguistici e difenderti dai rischi legati all’intelligenza artificiale. Un percorso pratico e subito spendibile per distinguerti nel mondo del lavoro. Non restare indietro: investi oggi nelle tue competenze e porta il tuo profilo professionale a un nuovo livello. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected] Supporta RHC attraverso:   L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Il post telegram annuncia che Play avrebbe pagato una somma di $35.000 per un tool (non ben specificiato) ed ulteriore training riguardo a dei “encryption attacks”. Chiaramente c’è più di qualcosa che non torna :

1. Per diventare affiliati non basta una semplice chat ed è necessario che vengano date prove di efficenza dei threat actors tramite i loro profili sui forum oltre che un versamento in BTC (solitamente 1 BTC) nel wallet del RaaS.
2. Esistono molti canali che vengono spacciati come ufficiali dei RaaS più disparati, da LockBit ad Akira, che si limitano a riproporre i post sui DLS ufficiali ma che hanno nessun tipo di rapporto con i gruppi. Questo canale non fa eccezzione, non c’è nessuna prova che confermi la veridicità o meno del canale.
3. Le regole di affiliazione di LockBit sono chiare e una di queste presuppone la presenza, all’interno dei potenziali affiliati, di un’individuo che sappia parlare una lingua russofona. Questa regola serve per filtrare buona parte dei candidati. Se si dovesse discutere di una futura collaborazione il tutto verrebbe fatto in lingua russofona e non in inglese
4. Gli annunci di questo tipo si fanno in solo due modi : nei canali ufficiali oppure non vengono portate alla luce affatto. Sicuramente farlo sapere al pubblico tramite un canale telegram (dove tra l’altro vengono postati screen di chat private) non è un’opzione.

Alla luce di questi punti tutto lascia pensare che si tratti di una fake news, cavalcando le precedenti dichiarazioni di LockBit per darle un’aura veritiera. Non è ancora chiaro il motivo ne tantomeno l’origine di questa falsa notizia e rimaniamo in attesa di aggiornamenti.

Attacchi & DLS

LB non ha mai cessato completamente le attività e rimane tutt’ora il gruppo con il più alto numero di attacchi. Il più particolare riguarda “La Grande Loge Nationale”, loggia massonica francese che non ha ancora, alla scrittura di questo articolo, dichiarato nulla a riguardo.

Sempre nella stessa data (25 luglio) è stato pubblicato un’altra azienda, questa volta nel settore education, chiamata Education for the 21st Century. Anche per questa azienda, per ora, non ha rilasciato dichiarazioni a riguardo.

Considerare che nella settimana 17-23 Luglio 2024 LockBit ha collezzionato 20 vittime diverse portandolo chiaramente nel posto più alto del podio, un traguardo non male per essere stato sottoposto ad un trattamento speciale da parte delle forze dell’ordine a Maggio 2024. Recentemente sono stati processati 2 operatori di LB che si sono dichiarati colpevoli e, se le dichiarazioni della taskforce Cronos verranno mantenute, molti altri sono sotto indagine ed analisi dalle forze dell’ordine. Nonostante ciò il core di LB rimane attivo facendo si che il modello di businesse del RaaS non si fermi.

Per chi non ne fosse a conoscenza è importante considerare che il DLS di LockBit ora necessita di un passcode per accedervi, oltretutto i mirror onion cambiano molto frequentemente rendendo difficile un monitoraggio continuo dei post. Non è chiara la scelta dell’utilizzo di un passcode per la visualizzazione dei post mentre il continuo ciclo dei siti mirror potrebbe confermare dei cambiamenti tecnici in atto. Quello che è certo è che sarà molto più complicato monitorare le azioni di LB e non si può totalmente escludere che sia una scelta voluta.

Conclusioni

Se vi siete apposionati alla vicenda di LockBit-Cronos vi ricorderete sicuramente il post Wanted – DMITRY YURYEVICH KHOROSHEV dichiarato di essere responsabili delle azioni di LB. Al momento non sono fuoriuscite notizie riguardo a questa persona, nè dal RaaS nè dalle forze dell’ordine. Operation Cronos sembra essersi concluso con danni marginali ai criminali ma è importante considerare che su lungo termine potrebbero esserci dei novi risvolti, nel 2023 LB ha impattato sui dati di 7.8 millioni di cittadini americani rendendolo una minaccia nazionale da non sottovalutare.

Che ci piaccia o no lockBit continua ad influenzare la scena, abbiamo RaaS nuovi come BrainCipher (attacco al PDU indonesiano) che sono nati partendo dal codice leakato di LB3.0. Inoltre possiamo vedere come venga continuamemente citato, vuoi per la sua immagine ed influenza, in maniera indebita o meno. Ciò che impariamo in questo breve articolo è di non fidarsi subito di ciò che si viene a conoscenza e di unire il ragionamento con le conoscenze che abbiamo per capire realmente quale sia la verità. In questo la cyber threat intelligence gioca un ruolo fondamentale per rimanere on-point su quello che accade nelle cosidette “undergrounds” e non accontentarsi di quello che viene portato in superficie.

LockBit ha puntato tanto sulla sua brand identity ed ora è l’unica cosa che li rimane per il basso numero di affiliati e, in particolar modo, al raid di Cronos che ha permesso di ottenere un buon numero di chiavi di decrypt disponibile gratuitamente sul sito CISA #StopRansomware. LB potrà anche avere un numero alto di attacchi (per ora) ma questo non specifica in nessun modo i guadagni o efficenza del RaaS. Akira sembra essere un nuovo big player designato a rimanere nella scena per anni, RansomHub è stata capace di rubare i talent agli altri RaaS presentandosi come uno dei gruppi con il più alto numero di affiliati e tutti i nuovi rookie che stanno emergendo da inizio 2024 stanno facendo concorrenza a LB in termini di nuovi affiliates che sono la linfa vitale per ogni RaaS.

Alessio Stefan
Membro del gruppo di Red Hot Cyber Dark Lab. Love the red color.

Lista degli articoli