Skip to content Skip to footer

Come LockBit è diventato il re dei ransomware

Tatuaggio LockBit

Immagine in evidenza: uno dei tatuaggi circolati online dopo la gara lanciata dalla gang (vedi articolo). Fonte: Analyst1

È un periodo di stravolgimenti nel panorama delle cyber gang che si contendono l’impero di una delle minacce più remunerative e comuni degli ultimi anni, i ransomware: malware (software malevoli) che rendono inaccessibili i dati dei computer infettati e richiedono il pagamento di un riscatto, in inglese ransom, per ripristinarli e non diffonderli. La fuga di informazioni che ha segnato la fine del gruppo Conti (ne abbiamo scritto qua) e le operazioni di polizia contro il collettivo Hive hanno lasciato spazio all’ascesa di LockBit, gang che sostiene di avere sede nei Paesi Bassi, ma secondo vari osservatori avrebbe radici in Russia. 

Le vittime (e 50 procedimenti in Italia)

Lo scorso novembre il Dipartimento di Giustizia statunitense ha dichiarato che il loro ransomware è stato usato nel mondo contro almeno mille vittime. Molti, nelle ultime settimane, sono i nomi illustri: si va dalla Royal Mail, la più importante azienda postale britannica, all’autorità per i servizi ai senza dimora di Los Angeles, passando per centinaia di piccole e grandi organizzazioni.

Anche in Italia LockBit “è una delle gang più attive”, dice a Guerre di Rete Riccardo Croce, direttore del Centro nazionale anticrimine informatico delle infrastrutture critiche (Cnaipic) della Polizia postale, aggiungendo che legati ai loro attacchi “sono tutt’ora aperti circa 50 procedimenti penali”. Tra le istituzioni del nostro Paese di cui il collettivo ha da poco diffuso i dati sul proprio blog, dopo non aver ricevuto il pagamento del riscatto, compaiono la Cassa nazionale di previdenza e assistenza a favore di ragionieri e periti commerciali, il comune di Gorizia, e l’Agenzia delle entrate (anche se Sogei ha smentito che ci sia stato un attacco all’Agenzia). 

LockBit 3, il nuovo gioiello della gang, presentato lo scorso giugno, ha mosso i primi passi da troppo poco tempo. Conosciuta anche con il nome di LockBit Black, quest’ultima evoluzione del ransomware preoccupa l’FBI (l’agenzia governativa di polizia federale degli Stati Uniti), che in un report informativo pubblicato il 16 marzo 2023, in collaborazione con altri enti, ha definito il malware “più modulare e sfuggente” dei precedenti. Segno che il gruppo LockBit è destinato a crescere ancora. 

Marketing, network e affari: i segreti del successo

“Siamo completamente apolitici e interessati solo ai soldi”. Questa la frase con cui LockBit si presenta ai potenziali affiliati sul proprio blog, raggiungibile tramite il software Tor. È uno dei punti di forza della gang che, partita un po’ in sordina (nel 2019), negli ultimi anni è riuscita a costruirsi una solida reputazione tra cybercriminali e vittime, trattando i ransomware come qualsiasi altro tipo di business. “LockBit è organizzata meglio di molte società lecite”, ha detto al Financial Times Shmuel Gihon, ricercatore della società di sicurezza informatica CyberInt. “Sono professionali, si preoccupano delle pubbliche relazioni, focalizzandosi su prodotti e affari, e tenendosi alla lontana dalla politica”. Una capacità affaristica che Jon DiMaggio, ricercatore della società di sicurezza Analyst1, in una approfondita analisi attribuisce a chi al momento è a capo della gang, un soggetto che spesso online prende il nome di LockBitSupp. Personalità che DiMaggio definisce narcisistica, “senza particolari doti di leadership”, ma in grado di gestire LockBit al pari di un’impresa e per questo “molto attrattivo per i criminali”. 

L’impronta imprenditoriale ha tante declinazioni. Una è l’attenzione, quasi maniacale, che la gang dedica ad alimentare il proprio brand e la propria reputazione, screditando sistematicamente i rivali, ad esempio attaccando una gang che aveva preso di mira un ospedale. L’altro aspetto importante è il reclutamento di nuovi, e talentuosi, cyber criminali. Un esempio è il programma di bug bounty, il primo lanciato da una gang ransomware, con cui il gruppo ha deciso di offrire una ricompensa a chi fosse stato in grado di individuare delle vulnerabilità nel proprio malware.

Ma a fare davvero la differenza è la scelta del ransomware as a service come modello economico. In pratica, LockBit affitta il proprio malware agli affiliati, fornendogli ogni supporto tecnico necessario per penetrare nei sistemi informatici di imprese e organizzazioni, e poi chiedere i soldi del riscatto. In cambio, trattiene – dichiara –  il 20 per cento e, se la vittima rifiuta di pagare la somma dovuta, pubblica le informazioni così ottenute sul proprio blog.

Il codice della gang

In nome del profitto, il collettivo offre l’opportunità di affiliarsi a chiunque: “Non importa in quale Paese vivi, che lingua parli, che età hai, e in quale religione credi, chiunque sul pianeta può lavorare con noi in qualsiasi momento”, scrive. Ma c’è un regolamento da rispettare che Guerre di Rete ha analizzato.

Non si possono criptare i file di infrastrutture critiche, come centrali nucleari e idroelettriche, né quelli di aziende petrolifere, ma “è permesso sottrarne i dati non cifrati”. Le istituzioni mediche da attaccare vanno scelte “molto attentamente e in maniera selettiva”: è vietato danneggiarle quando in ballo c’è la vita delle persone, come nel caso di centri cardiologici e neurochirurgici, o di reparti di maternità, ma via libera per le compagnie farmaceutiche e gli studi dentistici. Viene definito “molto encomiabile” attaccare i siti della polizia o di qualunque altra forza dell’ordine che “arresta gli hacker (loro si definiscono così, ndr)”, non apprezzando il “nostro lavoro”. Proibito, invece, prendere di mira gli Stati “post Sovietici”, come Armenia, Ucraina, Russia, Bielorussia e Georgia. Regola che la gang LockBit motiva con le origini dei suoi sviluppatori, e partner, “la maggior parte di loro – precisa – è nata e cresciuta nell’Unione sovietica, l’ex più grande Paese del mondo”. 

Violare il regolamento comporta l’espulsione dalla gang. È successo a gennaio dopo la notizia che SickKids, un ospedale pediatrico di Toronto, era stato attaccato da LockBit. Il collettivo, che in passato aveva screditato un altro gruppo ransomware per aver preso di mira un reparto maternità, si è scusato pubblicamente per l’accaduto e ha messo a disposizione dell’ospedale un software per decriptare i dati gratis, assicurando che l’affiliato responsabile dell’attacco “aveva violato le regole del gruppo” e pertanto non ne avrebbe più fatto parte. Però, notano alcuni, non avrebbe agito nello stesso modo nel caso di un attacco contro un ospedale francese.

Da gang a impresa: l’evoluzione di LockBit

La trasformazione in azienda è stata graduale, come racconta nel dettaglio il report realizzato da DiMaggio che, utilizzando diverse identità, ha speso diversi mesi nei forum e nelle chat private dei cyber criminali, riuscendo così a ottenere alcuni retroscena sull’organizzazione di LockBit. 

Nato nel 2019, il gruppo era inizialmente conosciuto con il nome di ABCD perché il suo ransomware inseriva la sequenza di lettere “abcd” in ogni file che criptava. Si trattava di un malware ancora poco sofisticato – dice DiMaggio – ma nonostante questo riuscì a fare le prime vittime in diversi Paesi: Stati Uniti, Germania, Francia, e Cina. Ma è nel 2020 che il collettivo fa il salto di qualità adottando il modello economico del ransomware as a service. Un’evoluzione che gli ha permesso di acquisire forza, e  gli ha garantito scalabilità, anche se il brand rimaneva ancora poco conosciuto. “Erano una delle tante gang ransomware che cercavano di conquistare riconoscimento in una comunità criminale”, scrive il ricercatore. 

Ed è in questa fase che a svolgere un ruolo fondamentale è stata l’attività di marketing. I soggetti con più lunga esperienza all’interno della gang hanno creato una personalità online di nome LockBitSupp che ha cominciato a “postare e interagire sui forum, partecipare alle conversazioni e a socializzare con gli altri criminali”. Idea vincente, e atipica nel panorama delle cyber gang, è stata quella di finanziare un contest estivo, postato in un forum di hacking russo a giugno 2020: il collettivo ha offerto un premio dai mille ai 5mila dollari alle cinque migliori ricerche. 

Un’altra iniziativa, nel 2020, è stata la creazione di una partnership con altri gruppi criminali, pubblicizzata come “cartello”. Si tratta, oltre a LockBit, di Wizard Spider, Twisted Spider, Viking Spider, Sunscript Gang. In realtà – puntualizza DiMaggio – la collaborazione è stata molto limitata. Le gang hanno condiviso i dati sottratti sui propri siti, ma la millantata creazione di un “cartello” può essere considerata come “un’operazione di propaganda” che i gruppi – alla “disperata ricerca di attenzione mediatica” – hanno utilizzato per “aumentare la loro credibilità criminale” e farsi conoscere. Infatti, nella pratica quotidiana hanno continuato a gestire i loro affari in modo separato, senza condividere i proventi attraverso una cassa comune. 

All’attività di promozione, LockBit ha accompagnato una riorganizzazione interna per ridurre i costi operativi. In questo contesto, si inserisce la campagna diretta a reclutare i dipendenti dei potenziali bersagli, promettendo una ricompensa a sei zeri: “Ti piacerebbe guadagnare milioni di dollari? Compriamo l’accesso alle reti, nonché le informazioni confidenziali che possono aiutarci a rubare i dati più preziosi di qualsiasi compagnia”, era il messaggio. LockBit 2.0, l’evoluzione del ransomware antecedente a LockBit Black, è stato un ulteriore passo in avanti: i cyber criminali hanno dotato il malware di un’interfaccia più semplice per permettere ai propri affiliati di controllare gli attacchi, ma soprattutto hanno scelto di lasciargli la gestione diretta dei soldi provenienti dal pagamento del ransom. LockBit è stata una delle prime gang ransomware ad adottare questo modello, quando la maggior parte dei gruppi versa la percentuale dovuta ai propri affiliati dopo l’avvenuto pagamento del riscatto.

Nel tempo anche il modo in cui il collettivo comunica all’esterno è cambiato, fino a raggiungere eccessi che – secondo il ricercatore – hanno causato dei malcontenti tra alcuni componenti della gang, stanchi dell’arroganza del leader e di iniziative eclatanti. Come, per esempio, l’offerta di mille dollari a chiunque si fosse tatuato sul corpo il logo di LockBit (vedi foto di apertura). . 

Per capire la differenza basta confrontare il testo dell’interfaccia che compare sugli schermi delle vittime di LockBit. La frase “tutti i tuoi dati sono stati cifrati”, che caratterizzava i messaggi iniziali, ora viene preceduta da una presentazione del prodotto della gang che si definisce “il ransomware più veloce e stabile dal 2019!”, e ricorda: “tieni presente che una volta che i file vengono pubblicati sul nostro sito, possono essere comprati dai nostri competitor in qualsiasi secondo, quindi non esitate a lungo. Prima la tua compagnia pagherà il ransomware, prima sarà al sicuro”.

Da Conti a Hive, il declino delle altre gang 

Sarebbe però sbagliato pensare che il successo di LockBit sia frutto solo delle loro attitudini imprenditoriali. L’ascesa della gang ha beneficiato anche di fattori esterni, che hanno indebolito la concorrenza fino a farla, in alcuni casi, scomparire. Appena un anno fa, protagonista della scena era il gruppo Conti. A cambiare rapidamente, e in modo inaspettato, le carte in tavola è stata l’invasione dell’Ucraina da parte della Russia. Il 25 febbraio 2022, il giorno dopo l’inizio della guerra, il collettivo ha pubblicato sul proprio blog un post in cui annunciava “ufficialmente” il “pieno supporto al governo russo” dicendosi pronto a utilizzare tutte le risorse a sua disposizione per contrattaccare e colpire le infrastrutture critiche del nemico, se qualcuno avesse deciso “di organizzare un cyber-attacco o qualsiasi altra attività bellica contro la Russia”. Una presa di posizione che non è andata giù ai tanti partner ucraini di Conti, nonostante la successiva rettifica in cui il gruppo ha precisato di “non essere a favore di alcun governo e di condannare la guerra in corso”. La risposta non si è fatta attendere e due giorni dopo un account Twitter, che sembra legato a un ricercatore di sicurezza informatico ucraino, ha iniziato a pubblicare chat e dati interni al collettivo, rivendicando la diffusione delle informazioni come rappresaglia alla dichiarazione di pochi giorni prima. A maggio del 2022 Conti ha comunicato la chiusura dei battenti. 

Quasi in parallelo, il Dipartimento di Giustizia statunitense ha reso nota la sua campagna contro un altro gruppo ransomware, Hive: organizzazione che, a partire dal 2021, si stima abbia colpito più di 1500 enti in oltre 80 Paesi del globo, arrivando a guadagnare oltre 100 milioni di dollari. Stesso modello economico di ransomware as a service, Hive era tra i maggiori competitor di LockbBit, almeno fino alla scorsa estate, quando è stato bersaglio di un’operazione delle forze dell’ordine Usa, durata mesi. In estate l’Fbi si è infiltrata nei computer del gruppo, recuperando man mano oltre 300 chiavi crittografiche che ha restituito alle vittime del malware. La conclusione è arrivata a gennaio 2023 quando il dipartimento, in collaborazione con le autorità tedesche e olandesi, è riuscito a prendere il controllo dei server e dei siti che la gang sfruttava per comunicare con i suoi membri, minandone l’operatività.

A fine febbraio a essere messo ko è stato il gruppo DoppelPaymer. Le forze dell’ordine tedesche, in un’azione congiunta con le autorità dei Paesi Bassi, l’Europol, e l’FBI hanno perquisito l’abitazione di un cittadino tedesco che si ritiene abbia avuto un ruolo di primo piano nell’organizzazione della gang. Indagini sono in corso anche in Ucraina, dove a Kiev e Kharkiv sono state sequestrate delle apparecchiature elettroniche, su cui al momento sono in corso indagini forensi. “Il cybercrime è una minaccia in costante evoluzione”, ha detto il procuratore generale Merrick B. Garland, precisando che “il Dipartimento di Giustizia Usa non risparmierà risorse per identificare e consegnare alla giustizia chi prende di mira gli Stati Uniti con un attacco ransomware”. Continueremo a lavorare per prevenire questi attacchi, a supportare le vittime, e (…) a smantellare i network criminali che li conducono”. 

La scelta apolitica di LockBit (e il basso profilo)

Intanto LockBit è cresciuta. Ha messo in chiaro di essere apolitica e di non avere a cuore nient’altro che il business: “Siamo solo interessati ai soldi per il nostro innocuo e utile lavoro. Tutto quel che facciamo è fornire formazione pagata agli amministratori di sistema sparsi per il globo su come impostare una rete aziendale in maniera corretta”, aggiungendo: “non prenderemo mai parte, in nessuna circostanza, a cyber attacchi a infrastrutture critiche di alcun Paese del mondo o parteciperemo a un conflitto internazionale”.

Una scelta che sembra aver funzionato. Per fare un confronto: a luglio 2022, poco dopo la presentazione dell’ultima versione del ransomware, LockBit era stato il gruppo più prolifico, con 61 attacchi. BlackBasta, al secondo posto in classifica, e considerato l’erede di Conti, si era fermato a 35. Mentre per proteggersi dalle indagini delle forze dell’ordine la gang dice di sfruttare Starlink, la costellazione di satelliti per l’accesso a Internet satellitare di proprietà di Elon Musk. Anche se l’informazione è impossibile da verificare, di certo c’è che l’arresto di un russo-canadese, di cui gli Stati Uniti hanno chiesto l’estradizione, è l’unico legato a LockBit. Almeno finora.

Associazione Guerre di Rete
Associazione Cyber Saiyan, P. IVA 14669161003