Il gruppo LockBit, che molti avevano rapidamente liquidato dopo fallimenti e fughe di notizie di alto profilo, è tornato inaspettatamente sulla scena. Nell’autunno del 2025, ha presentato una nuova versione del suo ransomware, LockBit 5.0, e ha modificato significativamente il suo approccio al business, rendendo i suoi attacchi più accessibili e più sofisticati.
La storia di LockBit inizia nel 2019, quando, in seguito al crollo del cartello Maze, il gruppo è diventato indipendente con il nome di ABCD. Entro la fine dello stesso anno, il marchio è cambiato in LockBit e, nel 2020, gli operatori sono passati a un ransomware a doppia estorsione con un proprio sito web di fuga di dati.
Nel corso degli anni, il ransomware ha subito diversi aggiornamenti importanti, tra cui le versioni 2.0, 3.0 e 4.0, oltre a esperimenti con attacchi su macOS e sfruttando gli sviluppi del codice sorgente trapelato di Conti .
 Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected].
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Dopo l’aggiornamento a LockBit 4.0, l’attività del gruppo si è gradualmente ridotta. Dopo maggio 2025, non sono comparse nuove vittime sul sito di fuga di dati e l’infrastruttura stessa sembrava abbandonata.
La situazione è cambiata a settembre 2025, quando LockBit ha rilasciato la versione 5.0 e ha abbassato drasticamente la soglia di accesso per i partner. Mentre in precedenza richiedeva investimenti significativi e guadagni di reputazione, la partecipazione al programma partner ora richiedeva solo 500 dollari. Gli analisti attribuiscono questa mossa al tentativo di riguadagnare influenza dopo l’Operazione CRONOS e le fughe di dati del pannello di controllo interno.
Entro la fine del 2025, sono emersi segnali di una ripresa. Il gruppo ha lanciato nuovi domini per il suo data leak site (DLS) e ha iniziato a riattivare forum underground, tra cui RAMP e XSS. Secondo i ricercatori, i partecipanti chiave al programma di affiliazione sono rimasti e la struttura stessa è stata ristrutturata per aumentare l’efficacia e la portata degli attacchi.
Tecnicamente, LockBit 5.0 è significativamente diverso dalle versioni precedenti. Il ransomware è costituito da un loader e da un modulo principale. Il loader è responsabile dell’aggiramento dei meccanismi di sicurezza, della decrittografia del payload e della sua esecuzione diretta in memoria, utilizzando attivamente tecniche anti-debug e anti-analisi. Il modulo principale è responsabile della crittografia dei dati e ha ricevuto una serie di nuove funzionalità.
Una delle modifiche principali riguarda una crittografia dei file più flessibile. L’algoritmo ora dipende dalla dimensione del file e per proteggere le chiavi vengono utilizzati ChaCha20 e Curve25519. Ai file vengono assegnate estensioni casuali di 16 caratteri e il malware termina i processi che mantengono i file aperti prima della crittografia. Questo aumenta il tasso di successo della crittografia e riduce la probabilità di errori.
LockBit 5.0 introduce anche nuove funzionalità non disponibili in precedenza. Il malware ora utilizza un mutex per impedire il riavvio, può visualizzare lo stato della crittografia nella console, elimina i file temporanei per velocizzare le operazioni e può danneggiare intenzionalmente il sistema utilizzando la funzione wiper, riempiendo il disco di dati indesiderati. Anche la logica per l’eliminazione delle copie shadow e la cancellazione dei registri eventi è stata modificata, complicando notevolmente il recupero dei dati e la successiva analisi degli incidenti.
Gli esperti sottolineano che l’aggiornamento alla versione 5.0 ha reso LockBit significativamente più resiliente all’analisi e più efficace negli attacchi,. Tuttavia, la riduzione dei costi di adesione al programma partner potrebbe portare a un aumento degli attacchi da parte di operatori meno esperti, ma più numerosi.
Gli esperti di sicurezza raccomandano alle organizzazioni di monitorare attentamente i comportamenti anomali dei processi, di installare tempestivamente gli aggiornamenti e di utilizzare strumenti di sicurezza aggiornati. Il ritorno di LockBit dimostra che anche gli attacchi più gravi alle infrastrutture ransomware non ne garantiscono la completa scomparsa, ma piuttosto incoraggiano l’adattamento e la ricerca di nuove tattiche.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Cybercrime
Vulnerabilità
Cyber Italia
Vulnerabilità
Cyber Italia