Le operazioni della banda di ransomware LockBit vengono interrotte con arresti e incriminazioni
Le attività illecite del gruppo di ransomware LockBit sono state notevolmente interrotte con il recente annuncio della National Crime Agency (NCA) del Regno Unito. La NCA ha rivelato di aver acquisito con successo il codice sorgente di LockBit e di aver raccolto informazioni riguardanti le sue operazioni e i gruppi associati attraverso l'Operazione Cronos, una task force dedicata.
Un'importante rivelazione della NCA è che i dati trovati sui sistemi di LockBit includevano informazioni di vittime che avevano già pagato un riscatto, contraddicendo le promesse fatte dai criminali di cancellare tali dati. Ciò sottolinea i rischi associati al rispetto delle richieste di riscatto.
Inoltre, la NCA ha confermato l’arresto di due persone collegate a LockBit in Polonia e Ucraina. Inoltre, oltre 200 conti di criptovaluta collegati al gruppo sono stati congelati e negli Stati Uniti sono state aperte accuse contro due cittadini russi presumibilmente coinvolti negli attacchi LockBit.
Artur Sungatov e Ivan Gennadievich Kondratiev, noto come Bassterlord, sono stati accusati di aver utilizzato LockBit contro numerose vittime, tra cui aziende di vari settori negli Stati Uniti e nel mondo. Kondratyev deve affrontare ulteriori accuse legate all'uso della variante del ransomware Sodinokibi (REvil).
Le recenti azioni arrivano dopo uno sforzo internazionale per smantellare LockBit, descritto dalla NCA come uno dei gruppi di criminalità informatica più dannosi al mondo. Nell'ambito dell'operazione, l'agenzia ha preso il controllo dei servizi di LockBit e si è infiltrata nell'intera rete criminale, compresi gli ambienti amministrativi degli affiliati e i siti di fuga di dati del dark web.
Inoltre, 34 server appartenenti agli affiliati LockBit sono stati smantellati e le autorità hanno recuperato oltre 1.000 chiavi di decrittazione dai server confiscati. LockBit, operativo dalla fine del 2019, opera secondo un modello ransomware-as-a-service, concedendo in licenza i crittografi agli affiliati che eseguono attacchi in cambio di una parte del riscatto.
Gli attacchi di LockBit implicano tattiche di doppia estorsione, in cui i dati sensibili vengono rubati prima della crittografia, aumentando la pressione sulle vittime affinché paghino per evitare la fuga di dati. Il gruppo ha anche sperimentato la tripla estorsione, incorporando attacchi DDoS insieme alle tradizionali tattiche di riscatto.
Strumenti personalizzati come StealBit facilitano l’esfiltrazione dei dati, con le autorità che sequestrano le infrastrutture utilizzate per organizzare e trasferire i dati delle vittime. Secondo Eurojust e il DoJ, gli attacchi LockBit hanno colpito oltre 2.500 vittime in tutto il mondo, generando profitti illeciti superiori a 120 milioni di dollari.
Il direttore generale della NCA Graeme Biggar ha sottolineato il successo dello sforzo collaborativo nel paralizzare le operazioni di LockBit, evidenziando l'acquisizione di chiavi cruciali per aiutare le vittime a decrittografare i loro sistemi. Ha anche avvertito che, sebbene LockBit possa tentare di ricostruire, le forze dell'ordine sono consapevoli della loro identità e dei loro metodi, indicando un duro colpo alla loro credibilità e capacità.