Lo scorso febbraio, una delle più insidiose minacce del web è stata sconfitta: il gruppo RaaS (Ransomware as a Service) LockBit. Finora, i dettagli dietro all’operazione che ha posto fine al regno di terrore del gruppo criminale, Operazione Cronos, sono rimasti segreti: oggi Trend Micro ce ne rivela i retroscena nel suo report “Unveiling the Fallout: Operation Cronos’ Impact on LockBit Following Landmark Disruption”.
La sconfitta di un drago
LockBit ha iniziato le sue operazioni criminali nel 2020, ed è cresciuto fino a diventare uno dei più influenti gruppi RaaS. Infatti, LockBit è stato responsabile di quasi un terzo di tutti gli attacchi ransomware nel 2023, guadagnandosi il titolo di gruppo più pericoloso del web.
In che modo le forze dell’ordine sono riuscite a sventare questa minaccia? In questo articolo, ripercorriamo gli eventi principali accaduti durante e dopo l’operazione.
Il takedown dei siti
Il 19 febbraio i siti associati a LockBit, presenti sul Dark Web, vengono sospesi dalla NCA e dalla FBI. Contemporaneamente, LockBitSupp, uno degli amministratori del gruppo, viene espulso da due famosi forum criminali, XSS e Expploit, minando ulteriormente la credibilità di Lockbit. In seguito alla sospensione dei siti associati al gruppo, le forze dell’ordine rilasciano le chiavi di cifratura utilizzate dal ransomware Lockbit per crittografare i dati delle vittime.
La scoperta degli affiliati
Dopo il raid ai siti associati a LockBit, le forse dell’ordine pubblicano i dettagli riguardanti gli affiliati del gruppo, esponendo le loro azioni al mondo intero. Tra i dati trapelati figurano chat, dettagli dei pagamenti effettuati a LockBit e malware utilizzato per effettuare attacchi ransomware. Le forze dell’ordine hanno così scoperto ben 193 affiliati appartenenti ad altri gruppi criminali influenti, come ALPHV e National Hazard Agency.
Le settimane seguenti al takedown
In seguito all’esposizione degli affiliati, LockBit tenta di ricostruire i suoi siti e di trovare intermediari per l’acquisto di domini di primo livello .gov, .edu e .org, in quella che sembra essere una ritorsione per l’Operazione Cronos. Tuttavia, questi sforzi non portano ad alcun risultato. Dopo il raid delle forze dell’ordine, infatti, la telemetria di Trend Micro rivela pochissimi attacchi informatici riusciti, e la grande maggioranza proviene da campagne precedenti o da altri gruppi cybercriminali come ALPHV.
I risultati dell’operazione e il futuro di LockBit
Trend Micro vede nell’Operazione Cronos un nuovo approccio per combattere il ransomware: interferire con il modello di business dei gruppi criminali è un metodo efficace e in grado di minare permanentemente le infrastrutture che alimentano il crimine informatico.
Inoltre, l’approccio adottato mostra quanto sia importante la cooperazione tra forze dell’ordine provenienti da diverse agenzie per sventare le operazioni criminali. Trend Micro crede che, se le forze dell’ordine non avessero cooperato per colpire contemporaneamente LockBit da più lati, il gruppo si sarebbe ripreso quasi immediatamente grazie alla sua fitta rete di affiliati.
Non è ancora possibile cantare vittoria. Altri gruppi influenti sono ancora al largo, ed è possibile che LockBit stia tentando di ricostruire la sua infrastruttura. Nonostante ciò, il gruppo criminale ha subito gravi danni sia alla sua reputazione che ai suoi sistemi di gestione interni, fatto che ritarderà qualsiasi potenziale ripresa. Inoltre, il rilascio dei dettagli sulle attività degli affiliati, ossia ciò che permette al gruppo di funzionare, hanno severamente indebolito la capacità operativa di LockBit.
Concludiamo riportando le parole di Alessandro Fontana, Country Manager di Trend Micro Italia: “La nostra abilità nel prevedere le mosse dei cybercriminali ci ha permesso non solo di trasmettere informazioni preziose per la riuscita dell’operazione, ma anche di rafforzare le difese che offriamo ai nostri clienti in tutto il mondo. Le conseguenze positive di questa operazione sono già evidenti e il nostro impegno per una security efficace grazie a un’intelligence globale sulle minacce, sta portando risultati tangibili”.
Sul sito di Trend Micro è possibile visionare il report completo.
- Vannini, Alessandro (Autore)
Rimani aggiornato seguendoci su Google News!
Da non perdere questa settimana su Techbusiness
🔮 Il futuro dell’innovazione tecnologica, ecco come l’AI può esserci d’aiuto
🕸️ La rivoluzione nell’automazione delle reti aziendali
🇪🇺 L’Unione Europea e il confine tra algoritmo e intelligenza artificiale
🏭 Google lancia IA per il Made in Italy per supportare le PMI italiane
✒️ La nostra imperdibile newsletter Caffellattech! Iscriviti qui
🎧 Ma lo sai che anche Fjona ha la sua newsletter?! Iscriviti a SuggeriPODCAST!
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
💌 Risolviamo i tuoi problemi di cuore con B1NARY
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸E trovi un po' di offerte interessanti su Telegram!
