Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Dentro la mente di LockBit: profilazione criminologica di un gruppo ransomware “aziendale”

Sandro Sana : 13 Giugno 2025 09:19

Nel mondo del cybercrime moderno, dove le frontiere tra criminalità e imprenditoria si fanno sempre più sfumate, il gruppo ransomware LockBit rappresenta un caso di studio affascinante.

Attivo dal 2019, LockBit è emerso come uno degli attori più pervasivi e strutturati del panorama delle minacce globali, distinguendosi per il suo modello operativo Ransomware-as-a-Service (RaaS) e per una narrazione pubblica che rivela molto più di quanto sembri. Grazie all’intervista esclusiva condotta da Red Hot Cyber e alla documentazione tecnica e comportamentale raccolta tramite la piattaforma Recorded Future, è oggi possibile tracciare una vera e propria profilazione criminologica del gruppo. Non solo sul piano tecnico, ma soprattutto su quello psicologico e organizzativo.

LockBit 3.0 si presenta al mondo con l’immagine di un’organizzazione fredda, razionale, svincolata da logiche ideologiche. Lo afferma chiaramente il loro manifesto di affiliazione: “We are completely apolitical and only interested in money.” Questa frase, all’apparenza banale, è invece un manifesto culturale. Significa che non c’è spazio per ideologie, geopolitica, religione o morale. L’unico codice che viene rispettato è quello del profitto.


Distribuisci i nostri corsi di formazione diventando un nostro Affiliato

Se sei un influencer, gestisci una community, un blog, un profilo social o semplicemente hai tanta voglia di diffondere cultura digitale e cybersecurity, questo è il momento perfetto per collaborare con RHC Academy. Unisciti al nostro Affiliate Program: potrai promuovere i nostri corsi online e guadagnare provvigioni ad ogni corso venduto. Fai parte del cambiamento. Diffondi conoscenza, costruisci fiducia, genera valore.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


La loro piattaforma di affiliazione non è solo un pannello tecnico: è un ecosistema criminale strutturato con dinamiche che ricordano i programmi di partnership delle aziende IT legittime. Ogni affiliato può accedere a un’infrastruttura completa: ransomware preconfigurati, strumenti per la cifratura di sistemi Linux, Windows, NAS, interfacce per comunicare con le vittime, timer per la pubblicazione dei dati, strumenti per l’esfiltrazione tramite Rclone o FreeFileSync, e tool per il bypass degli antivirus più diffusi. Tutto questo è documentato nei dossier pubblicati da Recorded Future, che ne analizzano in dettaglio le TTPs e l’evoluzione infrastrutturale.

Ma ciò che rende LockBit un soggetto unico non è soltanto la sua efficacia tecnica. È la psicologia che permea la sua comunicazione. Ogni riga del loro regolamento rivela una filosofia organizzativa precisa: quella di un gruppo che non tollera errori, che pretende competenza e che agisce con un controllo interno rigido. Gli affiliati devono essere noti nei forum underground, devono versare una cauzione per operare (un chiaro filtro reputazionale), e vengono sottoposti a regole di condotta severe. Chi viola queste regole – ad esempio collaborando con altri gruppi, colpendo target proibiti o disattendendo i pagamenti dovuti al gruppo madre – viene bandito e pubblicamente umiliato. Una gestione interna che ricalca, per struttura e rigore, quella di una vera multinazionale.

La selezione dei target, poi, è altrettanto rivelatrice della loro strategia. Gli attacchi sono calibrati per massimizzare il danno economico riducendo al minimo quello reputazionale. Da una parte, infatti, LockBit esclude esplicitamente obiettivi come ospedali pediatrici, cliniche oncologiche, enti religiosi o istituzioni statali russe e post-sovietiche. Dall’altra, incoraggia i propri affiliati a colpire grandi aziende occidentali, preferibilmente dotate di assicurazioni cyber. Non si tratta di una scelta morale, ma di una fredda logica di risk management: meno attenzione da parte dei media e delle agenzie di intelligence, più spazio per chiudere accordi di pagamento con le vittime.

Durante l’intervista rilasciata a Red Hot Cyber, i portavoce di LockBit hanno ribadito più volte questa distanza da qualsiasi forma di attivismo ideologico, prendendo anche le distanze da altri gruppi più politicizzati come Conti. Hanno dichiarato che il loro obiettivo non è il caos, bensì il profitto. In un passaggio, affermano perfino di essere come “pentester” che aiutano le aziende a migliorare la sicurezza. Una narrazione paradossale, ma coerente con il personaggio pubblico che si sono costruiti: criminali, ma con metodo. Hacker, ma con codice etico (selettivo).

Questa è forse la più pericolosa delle caratteristiche di LockBit: il fatto che si presentino come “affidabili”. Il loro linguaggio, la cura della piattaforma, la trasparenza apparente delle loro regole, tutto è pensato per costruire fiducia. Una fiducia tossica, certo, ma estremamente efficace. Per gli affiliati, LockBit è sinonimo di profitto e stabilità. Per le vittime, è una macchina di estorsione con cui è (tristemente) preferibile trattare, piuttosto che cercare il confronto.

In conclusione, LockBit 3.0 rappresenta la piena maturità della criminalità cyber-organizzata. Non è più solo un gruppo di hacker, ma un’azienda illegale con infrastrutture, marketing, supporto clienti e controllo qualità. Un brand, insomma. E in un mondo dove i brand ispirano fiducia, LockBit ha capito come giocare la sua partita.

Il pericolo non è solo il codice maligno che distribuisce, ma la mentalità imprenditoriale che incarna. Combatterlo richiede molto più che antivirus e patch. Serve una comprensione profonda di come oggi si struttura il crimine, a partire dalle sue logiche organizzative e psicologiche.

E serve anche il coraggio di ammettere che, in questa guerra silenziosa, il nemico non ha più il volto del teppista con l’hoodie, ma quello di un CEO in giacca e cravatta. Solo che, invece di presentazioni PowerPoint, scrive malware.

Tabella di sintesi analitica

La seguente tabella rappresenta una sintesi strutturata del profilo criminologico di LockBit 3.0, elaborata sulla base di fonti OSINT, threat intelligence e documenti originali del gruppo, inclusi regolamenti di affiliazione e comunicazioni pubbliche. Ogni categoria analizzata evidenzia specifici tratti comportamentali, organizzativi e tecnici, al fine di delineare una visione completa del gruppo sia sotto l’aspetto operativo che psicologico-criminale.

La classificazione segue un modello mutuato dall’analisi del comportamento criminale organizzato e dal framework MITRE ATT&CK, con l’integrazione di elementi qualitativi quali: livello di strutturazione interna, tono comunicativo, codici etici interni (reali o dichiarati), modelli di affiliazione, strumenti tecnici forniti, modalità di targeting e meccanismi di controllo interno.

Questa analisi consente una rapida identificazione del livello di maturità, pericolosità e prevedibilità del gruppo e può essere utilizzata come riferimento per:

  • Attività di profiling per analisti CTI
  • Pianificazione di difese specifiche nel SOC
  • Briefing per decision maker aziendali
  • Formazione in ambito cybersecurity forense e criminologia digitale
CategoriaOsservazioni
Tipo di attoreCybercriminali altamente strutturati, modello RaaS
Stile comunicativoCorporate, freddo, teatrale. Linguaggio da manuale di partnership
Etica criminale internaOpportunistica: si presentano come etici, ma selezionano solo per evitare ripercussioni
ReclutamentoLibero, ma con cauzione e valutazione reputazionale
Toolset fornitoRansomware configurabile, piattaforma cloud, tool AV bypass, esfiltrazione
Tecniche distinteDouble/triple extortion, timer, admin panel con analytics
Affiliazione economicaFino all’80% del bottino all’affiliato; fino al 20% trattenuto dal core team
Controllo e punizioniControllo forte, rischio di delisting, perdita reputazionale, panel bloccati
TargetingMirato, orientato al business occidentale. Evitati obiettivi critici e geopoliticamente sensibili
Struttura organizzativaDecentralizzata, modello franchising

Dettagli:

PROFILO PSICO-SOCIALE DEL GRUPPO

Motivazione primaria: economica

“We are completely apolitical and only interested in money.”

LockBit si dichiara totalmente apolitico, focalizzato esclusivamente sul profitto. Questo li differenzia dai gruppi filo-governativi (es. Sandworm o Conti), posizionandoli come criminali pragmatici, non ideologici.

Etica criminale interna (selettiva)

“It is illegal to encrypt files in hospitals, clinics… oncology centers, maternity hospitals…”
“It is forbidden to attack post-Soviet countries such as Armenia, Belarus, Georgia, Kazakhstan, Kyrgyzstan…”

Il gruppo dichiara di escludere target “sensibili”, per proteggere la propria reputazione nel crimine organizzato. In realtà, è una scelta opportunistica: meno attenzione delle autorità, meno rischio geopolitico, più “customer care” verso i propri affiliati.

MODELLO ORGANIZZATIVO

Schema decentralizzato tipo “franchising” criminale

  • Chiunque può affiliarsi, senza limiti geografici o linguistici
  • Richiesta una cauzione del 20% per operare con il pannello
  • Il pannello di affiliazione è completo di funzioni: upload, chat con le vittime, decryptor testing, timer, ecc.
  • Le estorsioni sono personalizzabili dall’affiliato, anche nei toni e nei metodi

“You personally communicate with the attacked companies and decide yourself how much money to take for your invaluable patient work.”

Questo evidenzia delega operativa totale, ma controllo infrastrutturale centrale.

STRUMENTAZIONE E TOOLING

Dotazione dell’affiliato:

  • Ransomware preconfigurato con supporto per 14 architetture Linux
  • Admin panel con funzioni integrate:
    • Upload file e decryptor
    • Estensione del timer per pubblicazione dati
    • Comunicazione cifrata con le vittime
  • Tool di esfiltrazione: Rclone, FreeFileSync, WinSCP
  • Bypass di Windows Defender e altri AV
  • Supporto cifratura di storage NAS (RAID, ZFS, ext4, Btrfs)

“The fastest and most efficient encryption (without the possibility of file space error encryption).”

Si posizionano come fornitore di ransomware “premium”.

CONTROLLO, VIGILANZA E “ASSICURAZIONI”

  • Sistemi reputazionali basati su forum underground
  • Obbligo di non collaborare con altri gruppi ransomware: “Do not work with competitors”
  • Possibilità di espulsione o punizione in caso di furti, truffe o comportamento scorretto
  • Inserimento in “blacklist” se si violano le regole

“Be understanding with such a careful attitude to your candidacy, because you personally would not be very pleased if your newly encrypted company were decrypted for free.”

In altre parole: “o giochi secondo le regole, o roviniamo la tua reputazione”.

SELEZIONE DEI TARGET

Vietato colpire:

  • Sanità (solo in casi estremi e chirurgicamente selezionati)
  • Enti religiosi
  • ONG
  • Enti governativi ex-URSS

Preferiti:

  • Aziende occidentali
  • Aziende con elevato flusso finanziario
  • Compagnie assicurate (con ransom coverage)
  • Infrastrutture private critiche

Sandro Sana
Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Lista degli articoli
Visita il sito web dell'autore

Articoli in evidenza

Dopo aver criptato mezzo mondo, Hunters International chiude! Distribuito gratuitamente il Decryptor

Hunters International, il gruppo responsabile di uno dei più grandi attacchi ransomware degli ultimi anni, ha annunciato ufficialmente la cessazione delle sue attività. In una dichiarazione ...

Da AI white ad AI black il passo è breve. Nuovi strumenti per Script Kiddies bussano alle porte

I ricercatori di Okta  hanno notato che aggressori sconosciuti stanno utilizzando lo strumento di intelligenza artificiale generativa v0 di Vercel per creare pagine false che imitano qu...

Se è gratuito, il prodotto sei tu. Google paga 314 milioni di dollari per violazione dei dati agli utenti Android

Google è al centro di un’imponente causa in California che si è conclusa con la decisione di pagare oltre 314 milioni di dollari agli utenti di smartphone Android nello stato. Una giu...

CTF di RHC 2025. Ingegneria sociale in gioco: scopri la quarta “flag” non risolta

La RHC Conference 2025, organizzata da Red Hot Cyber, ha rappresentato un punto di riferimento per la comunità italiana della cybersecurity, offrendo un ricco programma di talk, workshop e compet...

Linux Pwned! Privilege Escalation su SUDO in 5 secondi. HackerHood testa l’exploit CVE-2025-32463

Nella giornata di ieri, Red Hot Cyber ha pubblicato un approfondimento su una grave vulnerabilità scoperta in SUDO (CVE-2025-32463), che consente l’escalation dei privilegi a root in ambie...