LockBit: questi difetti potrebbero abbattere la gang ransomware più prolifica di sempre

E se il prossimo obiettivo fosse la banda di ransomware LockBit? 

Dopo l’annuncio dello smantellamento delle infrastrutture cybercriminali di Hive, a seguito di una spettacolare operazione internazionale guidata dagli Stati Uniti, tutti gli occhi sono puntati su LockBit.

Questa banda, è infatti l’organizzazione più attiva del momento in termini di ransomware. Il ransomware as a service (RaaS), affitta a pagamento l’accesso al suo malware agli affiliati, è riuscito mescolando innovazione, marketing aggressivo e opportunismo, a distinguersi. Il che naturalmente lo rende la priorità informatica per la polizia di tutto il mondo.

Di certo, per Jon DiMaggio, è improbabile un arresto dei capi della banda. Ma per questo esperto di Analyst1, azienda americana specializzata in intelligence sulle minacce informatiche, questi cybercriminali dall’ego sproporzionato e dagli eccessi già noti non sono intoccabili. 

In un affascinante reportage sul funzionamento di LockBit, elenca le falle che un giorno potrebbero far cadere l’organizzazione criminale dal suo piedistallo.

Infiltrazione

Innanzitutto, l’indagine di Jon DiMaggio mostra che questa banda può essere infiltrata. Come spiega a The Record, l’analista si è semplicemente candidato per essere un affiliato del gruppo. E alla fine del suo test di valutazione, che è stato inconcludente, è riuscito a rimanere nel loro canale di messaggistica Tox, una specie di Skype crittografato. Ciò ha permesso all’investigatore di Analyst1 di seguire alcuni degli scambi del gruppo. Quindi, affermando di essere un subappaltatore di lingua tedesca, si è impegnato direttamente in una conversazione con LockBitSupp, i presunti capi del gruppo – crede che due persone si stiano probabilmente alternando dietro questo account.

Tanti elementi accumulati in diversi mesi, con messaggi pubblici postati sui forum dei cybercriminali, che hanno permesso a Jon DiMaggio di individuare alcuni tratti caratteristici. Quindi, per l’esperto, il capo della banda è probabilmente un uomo che vive in Russia o nell’Europa dell’Est e che, in fondo, non è molto felice. E se quest’ultimo afferma di non vivere nel paese di Vladimir Putin e di avere per esempio partecipazioni in due ristoranti di New York, è prima di tutto per coprire le tracce.

Inimicizie tra i criminali informatici

Ma l’esperto insiste anche sul narcisismo e sulla sete di vendetta dei criminali di LockBit. Questa ricerca di notorietà è già ben documentata. Il gruppo aveva così lanciato un atipico concorso estivo, nel giugno 2020, destinato a premiare gli approcci innovativi alla pirateria, e pagava anonimi che si tatuavano sulla pelle il nome della banda. Leadership e “buffonate pubbliche” che stancano i criminali informatici, giudica Jon DiMaggio.

Tanto più che questa voglia di far rumore si concretizza anche sotto forma di campagne diffamatorie lanciate contro i rivali. La banda ha vissuto scontri interni, come testimoniano le polemiche sullo “sviluppatore ubriaco”. 

Nel settembre 2022, la banda ha attribuito la fuga del codice sorgente del malware a un programmatore con problemi di alcol. Per Jon DiMaggio, questo scienziato informatico in fuga è ora un “obiettivo di alto valore” per le forze dell’ordine, data la sua potenziale conoscenza dei meccanismi interni della banda. Ritiene quindi probabile che l’informatico ei suoi ex leader conoscano le rispettive identità.

Disinformazione e paranoia

Non sorprende che la paranoia sia comune tra i criminali informatici, LockBitSupp mette in risalto la sua sfiducia. Sostiene di tenere una fondamentale chiavetta USB in una collana di lana portata al collo, solo per poterla inghiottire velocemente in caso di arresto. Allo stesso modo, avrebbe usato la rete satellitare StarLink per rendere più difficile rintracciarlo.

Qualunque sia la veridicità di queste affermazioni, impossibili da verificare, ci ricordano che c’è un terreno fertile su cui lavorare. 

Uno degli assi più promettenti per ostacolare le azioni di LockBit, afferma Jon DiMaggio, sarebbe quindi lavorare sulle paure. Tali “operazioni di guerra dell’informazione, intese a iniettare propaganda e disinformazione nei forum del dark web”, spiega in conclusione, potrebbe consentire di seminare discordia tra i criminali informatici e spingerli all’errore.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Pietro Melillo

Membro e Riferimento del gruppo di Red Hot Cyber Dark Lab, è un ingegnere Informatico specializzato in Cyber Security con una profonda passione per l’Hacking e la tecnologia, attualmente CISO di WURTH Italia, è stato responsabile dei servizi di Cyber Threat Intelligence & Dark Web analysis in IBM, svolge attività di ricerca e docenza su tematiche di Cyber Threat Intelligence presso l’Università del Sannio, come Ph.D, autore di paper scientifici e sviluppo di strumenti a supporto delle attività di cybersecurity. Dirige il Team di CTI "RHC DarkLab"

Aree di competenza: Cyber Threat Intelligence, Ransomware, Sicurezza nazionale, Formazione