Rivelata l'identità del leader LockBit: legittimo o troll?

Rivelata l'identità del leader LockBit: legittimo o troll?

Ampiamente riconosciuto come uno dei gruppi di ransomware più prolifici al mondo, Lockbit è emerso per la prima volta nel 2019 come ransomware ABCD. Da quando è stato rilevato per la prima volta, il gruppo "ransomware-as-a-service" ha rilasciato due importanti aggiornamenti al ransomware. La banda lo era accreditato per quasi il 21% di tutti gli attacchi ransomware nel 2023. È noto che il ransomware LockBit ottiene l'accesso iniziale in vari modi. Questi includono lo sfruttamento di server RDP (Remote Desktop Protocol) vulnerabili o l'acquisto di credenziali compromesse dai propri affiliati. Inoltre, è noto che utilizzano phishing e-mail con allegati o collegamenti dannosi, nonché credenziali RDP deboli con forza bruta. Dopo aver ottenuto l'accesso al computer della vittima e aver aumentato i privilegi, il malware sostituisce lo sfondo del desktop con una richiesta di riscatto.

Con oltre 2000 vittime e quasi mezzo miliardo di dollari estorti, la banda dei ransomware è da tempo nel radar di diverse forze dell'ordine. Il 19 febbraio 2024, nell'ambito dell'operazione Cronos, la National Crime Agency, insieme a Europol e altre forze dell'ordine internazionali, ha preso il controllo dei siti web della darknet appartenenti al gruppo di ransomware LockBit. Dopo aver rimosso con successo 34 server in diversi paesi in Europa e negli Stati Uniti, è stato sviluppato un decryptor per LockBit 3.0 e reso disponibile per l'uso gratuito. Il gruppo si è dimostrato resiliente e, a partire dal 22 febbraio 2024, il malware era ancora in diffusione. 

Il 7 maggio 2023, il Dipartimento di Giustizia degli Stati Uniti ha svelato il leader del gruppo ransomware Lockbit. Identificato come un cittadino russo di nome Dmitry Khoroshev, il DoJ ha imposto una sanzione al presunto leader del gruppo e ha offerto fino a 10,000,000 di dollari in ricompense per informazioni portando al suo arresto o alla sua condanna. Conosciute anche con il soprannome di LockBitSupp, le azioni contro Khoroshev includono il congelamento dei beni e il divieto di viaggio. Le accuse presentate contro Khoroshev lo nominavano sviluppatore e amministratore di LockBit da settembre 2019. Tuttavia, il gruppo ha rilasciato diverse dichiarazioni sostenendo che l'FBI sta mentendo. Il leader del gruppo aveva già affermato a febbraio che l'accesso del governo alle operazioni di LockBit era ampiamente esagerato. In una dichiarazione a un account X (ex Twitter). vx-metropolitana, l'amministratore della banda ha detto: “Non capisco perché stanno mettendo su questo piccolo spettacolo. Sono chiaramente sconvolti dal fatto che continuiamo a lavorare. Dopo che è stata rivelata la presunta identità del leader di LockBit, il gruppo ha rilasciato una dichiarazione all'FBI affermando di aver preso la persona sbagliata.

Dall'inizio dell'Operazione Cronos, diverse persone sono state arrestate per presunto legame con la banda LockBit. Era una coppia padre-figlio arrestato in Polonia e Ucraina nel febbraio 2024 per affiliazioni alla cosca. Nel 2023, gli Stati Uniti hanno anche arrestato e accusato una serie di cittadini russi di coinvolgimento con LockBit, tra cui Mikhail Matveev aka Wazawaka, m1x e Boriselcin (maggio 2023) e Mikhail Vasiliev (novembre 2022).

La rimozione dell’operazione ransomware LockBit da parte delle forze dell’ordine internazionali è un risultato significativo nella lotta contro la criminalità informatica. Anche se il leader del gruppo e alcuni dei suoi membri sono stati identificati e arrestati, resta da vedere se il gruppo verrà completamente smantellato. Tuttavia, il gruppo ha continuato a sostenere che le autorità avevano sbagliato persona, gettando un'ombra di dubbio sulla vera identità del leader della banda.