Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Il gruppo LockBit, che molti avevano rapidamente liquidato dopo fallimenti e fughe di notizie di alto profilo, è tornato inaspettatamente sulla scena. Nell’autunno del 2025, ha presentato una nuova versione del suo ransomware, LockBit 5.0, e ha modificato significativamente il suo approccio al business, rendendo i suoi attacchi più accessibili e più sofisticati.
La storia di LockBit inizia nel 2019, quando, in seguito al crollo del cartello Maze, il gruppo è diventato indipendente con il nome di ABCD. Entro la fine dello stesso anno, il marchio è cambiato in LockBit e, nel 2020, gli operatori sono passati a un ransomware a doppia estorsione con un proprio sito web di fuga di dati.
 Cybersecurity Awareness efficace? Scopri BETTI RHC! Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Red hot cyber ha sviluppato da diversi anni una Graphic Novel (giunta al sesto episodio), l'unica nel suo genere nel mondo, che consente di formare i dipendenti sulla sicurezza informatica attraverso la lettura di un fumetto. Contattaci tramite WhatsApp al numero 375 593 1011 per saperne di più e richiedere informazioni oppure alla casella di posta graphicnovel@redhotcyber.com
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Nel corso degli anni, il ransomware ha subito diversi aggiornamenti importanti, tra cui le versioni 2.0, 3.0 e 4.0, oltre a esperimenti con attacchi su macOS e sfruttando gli sviluppi del codice sorgente trapelato di Conti .
Dopo l’aggiornamento a LockBit 4.0, l’attività del gruppo si è gradualmente ridotta. Dopo maggio 2025, non sono comparse nuove vittime sul sito di fuga di dati e l’infrastruttura stessa sembrava abbandonata.
La situazione è cambiata a settembre 2025, quando LockBit ha rilasciato la versione 5.0 e ha abbassato drasticamente la soglia di accesso per i partner. Mentre in precedenza richiedeva investimenti significativi e guadagni di reputazione, la partecipazione al programma partner ora richiedeva solo 500 dollari. Gli analisti attribuiscono questa mossa al tentativo di riguadagnare influenza dopo l’Operazione CRONOS e le fughe di dati del pannello di controllo interno.
Entro la fine del 2025, sono emersi segnali di una ripresa. Il gruppo ha lanciato nuovi domini per il suo data leak site (DLS) e ha iniziato a riattivare forum underground, tra cui RAMP e XSS. Secondo i ricercatori, i partecipanti chiave al programma di affiliazione sono rimasti e la struttura stessa è stata ristrutturata per aumentare l’efficacia e la portata degli attacchi.
Tecnicamente, LockBit 5.0 è significativamente diverso dalle versioni precedenti. Il ransomware è costituito da un loader e da un modulo principale. Il loader è responsabile dell’aggiramento dei meccanismi di sicurezza, della decrittografia del payload e della sua esecuzione diretta in memoria, utilizzando attivamente tecniche anti-debug e anti-analisi. Il modulo principale è responsabile della crittografia dei dati e ha ricevuto una serie di nuove funzionalità.
Una delle modifiche principali riguarda una crittografia dei file più flessibile. L’algoritmo ora dipende dalla dimensione del file e per proteggere le chiavi vengono utilizzati ChaCha20 e Curve25519. Ai file vengono assegnate estensioni casuali di 16 caratteri e il malware termina i processi che mantengono i file aperti prima della crittografia. Questo aumenta il tasso di successo della crittografia e riduce la probabilità di errori.
LockBit 5.0 introduce anche nuove funzionalità non disponibili in precedenza. Il malware ora utilizza un mutex per impedire il riavvio, può visualizzare lo stato della crittografia nella console, elimina i file temporanei per velocizzare le operazioni e può danneggiare intenzionalmente il sistema utilizzando la funzione wiper, riempiendo il disco di dati indesiderati. Anche la logica per l’eliminazione delle copie shadow e la cancellazione dei registri eventi è stata modificata, complicando notevolmente il recupero dei dati e la successiva analisi degli incidenti.
Gli esperti sottolineano che l’aggiornamento alla versione 5.0 ha reso LockBit significativamente più resiliente all’analisi e più efficace negli attacchi,. Tuttavia, la riduzione dei costi di adesione al programma partner potrebbe portare a un aumento degli attacchi da parte di operatori meno esperti, ma più numerosi.
Gli esperti di sicurezza raccomandano alle organizzazioni di monitorare attentamente i comportamenti anomali dei processi, di installare tempestivamente gli aggiornamenti e di utilizzare strumenti di sicurezza aggiornati. Il ritorno di LockBit dimostra che anche gli attacchi più gravi alle infrastrutture ransomware non ne garantiscono la completa scomparsa, ma piuttosto incoraggiano l’adattamento e la ricerca di nuove tattiche.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
