Operation Cronos: interrotte le attività del gruppo dietro al ransomware LockBit
Il sito web del famigerato gruppo ransomware LockBit è stato oscurato dalle autorità giudiziarie, che affermano di aver interrotto le operazioni del gruppo. Il sito .onion di LockBit riporta infatti riporta il messaggio “Il sito è ora sotto il controllo delle forze dell’ordine” e in particolare della National Crime Agency (NCA) del Regno Unito, che ha collaborato con l’FBI e con una task force internazionale denominata Operation Cronos.
“Possiamo confermare che i servizi di LockBit sono stati interrotti a seguito di un’operazione delle forze dell’ordine internazionali ancora in corso e in via di sviluppo”, si legge sempre nella pagina, che riporta anche i loghi di Europol e delle forze dell’ordine di Australia, Germania, Paesi Bassi, Giappone, Francia e Svizzera. Sono presenti anche le bandiere di queste nazioni, oltre a quelle di Canada, Svezia e Finlandia.
Le pagine web, ovviamente, non sono lo strumento principale di una banda di ransomware (fungono più che altro da vetrina “promozionale”), ma l’Europol ha precisato di aver chiuso LockBit e quindi l’operazione potrebbe davvero aver bloccato (almeno per il momento) le operazioni del gruppo. Da quanto si sa al momento, le forze dell’ordine sono riuscite a violare i server di LockBit sfruttando una vulnerabilità PHP. Il codice sorgente di LockBit, le chat e le informazioni sulle vittime sono stati posti sotto sequestro, così come il pannello di affiliazione con cui i “clienti” del servizio potevano operare.
Se così fosse, sarebbe una bella notizia, considerando che solo negli USA le autorità statunitensi hanno rilevato almeno 1.700 attacchi LockBit a partire dalla metà del 2023, senza contare che il gruppo sarebbe stato anche responsabile di quasi un quarto di tutti gli attacchi ransomware in alcuni Paesi.
LockBit è stato uno dei pionieri del ransomware-as-a-service (RaaS). Offriva i suoi prodotti agli affiliati, che avevano il compito di negoziare con le vittime e poi inviare al gruppo parte del riscatto (si parla di decine di milioni di dollari), minacciando di rivelare i dati delle vittime se queste non avessero inviato altro denaro. Senza poi contare le implicazioni geopolitiche, visto che LockBit sarebbe al servizio di Mosca e potrebbe far parte di una campagna più ampia diretta ai nemici della Russia.
Quanto seriamente sarà stata colpita Lockbit?
Sebbene sia un risultato importante, il sequestro del leak site non comporta necessariamente una cessazione delle attività criminali del gruppo. Il leak site si limita a essere la vetrina per esporre le vittime al pubblico ludibrio e fornire alcune informazioni sui dati sottratti. Secondo quanto riportano alcune fonti, l’infrastruttura di leak vera e propria è ancora attiva, e non c’è motivo di ritenere che il sequestro del leak site possa fermare gli attacchi in corso o quelli futuri.
Pare invece assodato che le autorità siano riuscite a prelevare informazioni rilevanti sul network degli affiliati, come si può evincere dalla comunicazione che il gruppo ha diffuso nel proprio network e che è rimbalzato su X (ex Twitter):
Lockbit just emailed this to all of their affiliates. pic.twitter.com/lDBPP8XP8K
— AzAl Security (@azalsecurity) February 20, 2024
Vale la pena notare come questa comunicazione di crisi sia – per trasparenza, quantità e qualità delle informazioni diffuse – di livello superiore a quella di molte aziende, anche grandi, che spesso tentano invano di nascondere la polvere sotto ai tappeti.