Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Select language
English Spanish
Cerca

LockBit 5.0 : segnali di una nuova e possibile “Rinascita”?

Pietro Melillo : 3 Settembre 2025 17:10

LockBit rappresenta una delle più longeve e strutturate ransomware gang degli ultimi anni, con un modello Ransomware-as-a-Service (RaaS)che ha segnato in maniera profonda l’ecosistema criminale.

A seguito dell’operazione internazionale Operation Cronos, condotta a febbraio 2024 e che ha portato al sequestro di numerose infrastrutture e alla compromissione dei pannelli di gestione affiliati, il gruppo sembrava destinato a un declino irreversibile. Tuttavia, nelle ultime settimane, nuove evidenze in rete onion stanno alimentando ipotesi di una resurrezione del brand LockBit, sotto la sigla LockBit 5.0.

Breve storia del gruppo

  • 2019– Comparsa delle prime varianti di LockBit, caratterizzate da automatismi di propagazione rapida in ambienti Windows e tecniche avanzate di cifratura.
  • 2020-2021– Consolidamento del modello RaaS e forte espansione nella scena del cybercrime; introduzione dei data leak site come strumento di doppia estorsione.
  • 2022– LockBit diventa uno dei gruppi più attivi a livello globale, rilasciando le versioni LockBit 2.0 e 3.0, con implementazioni in linguaggi multipli e payload cross-platform.
  • 2023– Ulteriore diversificazione con payload in Go e Linux, e campagne mirate verso supply chain e settori critici.
  • 2024 (Operazione Cronos)– Coordinata da Europol e FBI, l’operazione porta al sequestro di oltre 30 server, domini onion e strumenti interni. Per la prima volta viene distribuito un decryptor pubblico su larga scala.

Evidenze recenti

Analizzando il loro sito underground, viene mostrato un portale accessibile tramite rete onion con brand LockBit 5.0, che adotta lo stesso schema di queue panel già osservato in precedenti versioni del gruppo. L’interfaccia ripropone loghi riconducibili a Monero (XMR), Bitcoin (BTC) e Zcash (ZEC) come metodi di pagamento, indicando che il modello di estorsione rimarrebbe centrato su criptovalute ad alto grado di anonimato.


Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber

«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi». Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca. Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare. Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.

Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]


Supporta RHC attraverso:
  • L'acquisto del fumetto sul Cybersecurity Awareness
  • Ascoltando i nostri Podcast
  • Seguendo RHC su WhatsApp
  • Seguendo RHC su Telegram
  • Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab


    • Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


    Il messaggio“You have been placed in a queue, awaiting forwarding to the platform”richiama i meccanismi classici dei pannelli di affiliazione LockBit, dove l’utente (o affiliato) viene instradato verso il backend operativo.

    Analisi tecnica e possibili scenari

    L’apparizione di LockBit 5.0 può essere interpretata secondo tre scenari principali:

    1. Tentativo di resurrezione reale: una parte del core team non colpita da Operation Cronos potrebbe aver ricostruito un’infrastruttura ridotta, puntando a reclutare nuovamente affiliati.
    2. Operazione di inganno (honeypot): non si esclude la possibilità che si tratti di un’esca creata da ricercatori o forze dell’ordine per monitorare traffico e identificare affiliati superstiti.
    3. Rebranding opportunistico: attori terzi, approfittando del “marchio” LockBit, potrebbero riutilizzarlo per ottenere visibilità e autorevolezza immediata nella scena underground.

    Conclusioni

    Sebbene al momento non vi siano prove concrete di nuove compromissioni riconducibili a LockBit 5.0, la presenza di un portale onion con brand ufficiale alimenta speculazioni su una possibile rinascita del gruppo. Sarà cruciale monitorare:

    • eventuali nuove campagne di intrusione con TTP riconducibili al passato di LockBit,
    • leak site attivi con pubblicazione di vittime,
    • segnali di reclutamento nel dark web.

    La vicenda dimostra ancora una volta la resilienza e la capacità di adattamento delle cyber-gang, che spesso riescono a rigenerarsi anche dopo operazioni di law enforcement di portata globale.

    Pietro Melillo
    Membro e Riferimento del gruppo di Red Hot Cyber Dark Lab, è un ingegnere Informatico specializzato in Cyber Security con una profonda passione per l’Hacking e la tecnologia, attualmente CISO di WURTH Italia, è stato responsabile dei servizi di Cyber Threat Intelligence & Dark Web analysis in IBM, svolge attività di ricerca e docenza su tematiche di Cyber Threat Intelligence presso l’Università del Sannio, come Ph.D, autore di paper scientifici e sviluppo di strumenti a supporto delle attività di cybersecurity. Dirige il Team di CTI "RHC DarkLab"

    Lista degli articoli

    Articoli in evidenza

    LockBit 5.0 : segnali di una nuova e possibile “Rinascita”?
    Di Pietro Melillo - 03/09/2025

    LockBit rappresenta una delle più longeve e strutturate ransomware gang degli ultimi anni, con un modello Ransomware-as-a-Service (RaaS)che ha segnato in maniera profonda l’ecosistema criminale. A ...

    Il RE dei DDoS! Cloudflare blocca un attacco mostruoso da 11,5 terabit al secondo
    Di Redazione RHC - 03/09/2025

    Il record per il più grande attacco DDoS mai registrato nel giugno 2025 è già stato battuto. Cloudflare ha dichiarato di aver recentemente bloccato il più grande attacco DDoS della storia, che ha ...

    Anche Cloudflare violata nell’incidente Salesforce! I rischi del cloud colpiscono tutti
    Di Redazione RHC - 03/09/2025

    Un’intrusione di dati è stata rilevata da Cloudflare, dove un aggressore esperto ha potuto accedere e quindi rubare i dati sensibili dei propri clienti da quella che era l’istanza Salesforce mess...

    Anche Palo Alto Networks Compromessa tramite Salesforce e Drift
    Di Antonio Piazzolla - 03/09/2025

    All’inizio di settembre 2025,Palo Alto Networks ha confermato di essere stata vittima di una violazione dei dati. La compromissione non ha interessato i suoi prodotti o servizi core, bensì alcune i...

    Terrore nel volo di Ursula von der Leyen? Facciamo chiarezza!
    Di Giovanni Pollola - 02/09/2025

    Il 31 agosto 2025 il volo AAB53G, operato con un Dassault Falcon 900LX immatricolato OO-GPE e con a bordo la presidente della Commissione Europea Ursula von der Leyen, è decollato da Varsavia ed è a...