Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

LockBit 5.0 : segnali di una nuova e possibile “Rinascita”?

Pietro Melillo : 3 Settembre 2025 17:10

LockBit rappresenta una delle più longeve e strutturate ransomware gang degli ultimi anni, con un modello Ransomware-as-a-Service (RaaS)che ha segnato in maniera profonda l’ecosistema criminale.

A seguito dell’operazione internazionale Operation Cronos, condotta a febbraio 2024 e che ha portato al sequestro di numerose infrastrutture e alla compromissione dei pannelli di gestione affiliati, il gruppo sembrava destinato a un declino irreversibile. Tuttavia, nelle ultime settimane, nuove evidenze in rete onion stanno alimentando ipotesi di una resurrezione del brand LockBit, sotto la sigla LockBit 5.0.

Breve storia del gruppo

  • 2019– Comparsa delle prime varianti di LockBit, caratterizzate da automatismi di propagazione rapida in ambienti Windows e tecniche avanzate di cifratura.
  • 2020-2021– Consolidamento del modello RaaS e forte espansione nella scena del cybercrime; introduzione dei data leak site come strumento di doppia estorsione.
  • 2022– LockBit diventa uno dei gruppi più attivi a livello globale, rilasciando le versioni LockBit 2.0 e 3.0, con implementazioni in linguaggi multipli e payload cross-platform.
  • 2023– Ulteriore diversificazione con payload in Go e Linux, e campagne mirate verso supply chain e settori critici.
  • 2024 (Operazione Cronos)– Coordinata da Europol e FBI, l’operazione porta al sequestro di oltre 30 server, domini onion e strumenti interni. Per la prima volta viene distribuito un decryptor pubblico su larga scala.

Evidenze recenti

Analizzando il loro sito underground, viene mostrato un portale accessibile tramite rete onion con brand LockBit 5.0, che adotta lo stesso schema di queue panel già osservato in precedenti versioni del gruppo. L’interfaccia ripropone loghi riconducibili a Monero (XMR), Bitcoin (BTC) e Zcash (ZEC) come metodi di pagamento, indicando che il modello di estorsione rimarrebbe centrato su criptovalute ad alto grado di anonimato.

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?

Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence". 
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.  
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. 
Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com
Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]



Supporta RHC attraverso:
 

  1. L'acquisto del fumetto sul Cybersecurity Awareness
  2. Ascoltando i nostri Podcast
  3. Seguendo RHC su WhatsApp
  4. Seguendo RHC su Telegram
  5. Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber

Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.
 

Il messaggio“You have been placed in a queue, awaiting forwarding to the platform”richiama i meccanismi classici dei pannelli di affiliazione LockBit, dove l’utente (o affiliato) viene instradato verso il backend operativo.

Analisi tecnica e possibili scenari

L’apparizione di LockBit 5.0 può essere interpretata secondo tre scenari principali:

  1. Tentativo di resurrezione reale: una parte del core team non colpita da Operation Cronos potrebbe aver ricostruito un’infrastruttura ridotta, puntando a reclutare nuovamente affiliati.
  2. Operazione di inganno (honeypot): non si esclude la possibilità che si tratti di un’esca creata da ricercatori o forze dell’ordine per monitorare traffico e identificare affiliati superstiti.
  3. Rebranding opportunistico: attori terzi, approfittando del “marchio” LockBit, potrebbero riutilizzarlo per ottenere visibilità e autorevolezza immediata nella scena underground.

Conclusioni

Sebbene al momento non vi siano prove concrete di nuove compromissioni riconducibili a LockBit 5.0, la presenza di un portale onion con brand ufficiale alimenta speculazioni su una possibile rinascita del gruppo. Sarà cruciale monitorare:

  • eventuali nuove campagne di intrusione con TTP riconducibili al passato di LockBit,
  • leak site attivi con pubblicazione di vittime,
  • segnali di reclutamento nel dark web.

La vicenda dimostra ancora una volta la resilienza e la capacità di adattamento delle cyber-gang, che spesso riescono a rigenerarsi anche dopo operazioni di law enforcement di portata globale.

Pietro Melillo
Membro e Riferimento del gruppo di Red Hot Cyber Dark Lab, è un ingegnere Informatico specializzato in Cyber Security con una profonda passione per l’Hacking e la tecnologia, attualmente CISO di WURTH Italia, è stato responsabile dei servizi di Cyber Threat Intelligence & Dark Web analysis in IBM, svolge attività di ricerca e docenza su tematiche di Cyber Threat Intelligence presso l’Università del Sannio, come Ph.D, autore di paper scientifici e sviluppo di strumenti a supporto delle attività di cybersecurity. Dirige il Team di CTI "RHC DarkLab"

Lista degli articoli

Articoli in evidenza

Microsoft si butta sulle scarpe! Lanciate le Crocs da collezione a tema Windows XP
Di Redazione RHC - 02/10/2025

Quest’anno Microsoft celebra i suoi primi 50 anni, un traguardo che riflette la trasformazione dell’azienda da piccola start-up nel 1975 a colosso globale della tecnologia. Fondata da Bill Gates e...

Caos per Outlook: il client Windows va in crash e blocca le caselle di posta
Di Redazione RHC - 02/10/2025

La società Microsoft ha reso noto di essere impegnata nell’investigazione di un’anomalia di rilievo riguardante il client desktop tradizionale di Outlook per il sistema operativo Windows, anomali...

Stati Uniti Sotto Tiro! Arriva Phantom Taurus, gli hacker cinesi che spiano governi e ambasciate
Di Redazione RHC - 02/10/2025

Un nuovo gruppo di hacker legato al Partito Comunista Cinese è stato identificato dagli esperti di Palo Alto Networks. L’Unità 42, divisione di intelligence sulle minacce della società california...

Alla scoperta del prompt injection: quando l’IA viene ingannata dalle parole
Di Manuel Roccon - 02/10/2025

I sistemi di Intelligenza Artificiale Generativa (GenAI) stanno rivoluzionando il modo in cui interagiamo con la tecnologia, offrendo capacità straordinarie nella creazione di contenuti testuali, imm...

Un bug critico in VMware Aria Operations e VMware Tools utilizzato da mesi dagli hacker cinesi
Di Redazione RHC - 01/10/2025

Broadcom ha risolto una grave vulnerabilità di escalation dei privilegi in VMware Aria Operations e VMware Tools, che era stata sfruttata in attacchi a partire da ottobre 2024. Al problema è stato a...