Il ritorno di LockBit! 500 euro per l’ingresso nel cartello cyber più famoso di sempre

Il gruppo LockBit, che molti avevano rapidamente liquidato dopo fallimenti e fughe di notizie di alto profilo, è tornato inaspettatamente sulla scena. Nell’autunno del 2025, ha presentato una nuova versione del suo ransomware, LockBit 5.0, e ha modificato significativamente il suo approccio al business, rendendo i suoi attacchi più accessibili e più sofisticati.

La storia di LockBit inizia nel 2019, quando, in seguito al crollo del cartello Maze, il gruppo è diventato indipendente con il nome di ABCD. Entro la fine dello stesso anno, il marchio è cambiato in LockBit e, nel 2020, gli operatori sono passati a un ransomware a doppia estorsione con un proprio sito web di fuga di dati.

Nel corso degli anni, il ransomware ha subito diversi aggiornamenti importanti, tra cui le versioni 2.0, 3.0 e 4.0, oltre a esperimenti con attacchi su macOS e sfruttando gli sviluppi del codice sorgente trapelato di Conti .

Dopo l’aggiornamento a LockBit 4.0, l’attività del gruppo si è gradualmente ridotta. Dopo maggio 2025, non sono comparse nuove vittime sul sito di fuga di dati e l’infrastruttura stessa sembrava abbandonata.

La situazione è cambiata a settembre 2025, quando LockBit ha rilasciato la versione 5.0 e ha abbassato drasticamente la soglia di accesso per i partner. Mentre in precedenza richiedeva investimenti significativi e guadagni di reputazione, la partecipazione al programma partner ora richiedeva solo 500 dollari. Gli analisti attribuiscono questa mossa al tentativo di riguadagnare influenza dopo l’Operazione CRONOS e le fughe di dati del pannello di controllo interno.

Entro la fine del 2025, sono emersi segnali di una ripresa. Il gruppo ha lanciato nuovi domini per il suo data leak site (DLS) e ha iniziato a riattivare forum underground, tra cui RAMP e XSS. Secondo i ricercatori, i partecipanti chiave al programma di affiliazione sono rimasti e la struttura stessa è stata ristrutturata per aumentare l’efficacia e la portata degli attacchi.

Tecnicamente, LockBit 5.0 è significativamente diverso dalle versioni precedenti. Il ransomware è costituito da un loader e da un modulo principale. Il loader è responsabile dell’aggiramento dei meccanismi di sicurezza, della decrittografia del payload e della sua esecuzione diretta in memoria, utilizzando attivamente tecniche anti-debug e anti-analisi. Il modulo principale è responsabile della crittografia dei dati e ha ricevuto una serie di nuove funzionalità.

Una delle modifiche principali riguarda una crittografia dei file più flessibile. L’algoritmo ora dipende dalla dimensione del file e per proteggere le chiavi vengono utilizzati ChaCha20 e Curve25519. Ai file vengono assegnate estensioni casuali di 16 caratteri e il malware termina i processi che mantengono i file aperti prima della crittografia. Questo aumenta il tasso di successo della crittografia e riduce la probabilità di errori.

LockBit 5.0 introduce anche nuove funzionalità non disponibili in precedenza. Il malware ora utilizza un mutex per impedire il riavvio, può visualizzare lo stato della crittografia nella console, elimina i file temporanei per velocizzare le operazioni e può danneggiare intenzionalmente il sistema utilizzando la funzione wiper, riempiendo il disco di dati indesiderati. Anche la logica per l’eliminazione delle copie shadow e la cancellazione dei registri eventi è stata modificata, complicando notevolmente il recupero dei dati e la successiva analisi degli incidenti.

Gli esperti sottolineano che l’aggiornamento alla versione 5.0 ha reso LockBit significativamente più resiliente all’analisi e più efficace negli attacchi,. Tuttavia, la riduzione dei costi di adesione al programma partner potrebbe portare a un aumento degli attacchi da parte di operatori meno esperti, ma più numerosi.

Gli esperti di sicurezza raccomandano alle organizzazioni di monitorare attentamente i comportamenti anomali dei processi, di installare tempestivamente gli aggiornamenti e di utilizzare strumenti di sicurezza aggiornati. Il ritorno di LockBit dimostra che anche gli attacchi più gravi alle infrastrutture ransomware non ne garantiscono la completa scomparsa, ma piuttosto incoraggiano l’adattamento e la ricerca di nuove tattiche.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Pietro Melillo

Membro e Riferimento del gruppo di Red Hot Cyber Dark Lab, è un ingegnere Informatico specializzato in Cyber Security con una profonda passione per l’Hacking e la tecnologia, attualmente CISO di WURTH Italia, è stato responsabile dei servizi di Cyber Threat Intelligence & Dark Web analysis in IBM, svolge attività di ricerca e docenza su tematiche di Cyber Threat Intelligence presso l’Università del Sannio, come Ph.D, autore di paper scientifici e sviluppo di strumenti a supporto delle attività di cybersecurity. Dirige il Team di CTI "RHC DarkLab"

Aree di competenza: Cyber Threat Intelligence, Ransomware, Sicurezza nazionale, Formazione