Ransomware: hacker diffonde il codice di Lockbit 3.0

Dopo molti attacchi andati di gruppi hacker andati a buon fine, stavolta ci troviamo a raccontare una notizia un po’ più positiva del solito. Questo perché i creatori del ransomware LockBit hanno subito un furto di informazioni che ha portato alla pubblicazione online del codice del builder. Se non si ricordasse, alcuni degli attacchi più noti perpetrati dall’omonimo gruppo hacker (alcuni dei quali sono stati raccontati anche in questo blog) sono quelli subiti, solo in Italia, da Agenzia delle Entrate, Rovagnati, il Comune di Gorizia e, purtroppo molti altri.

Per conoscerli meglio, alcuni analisti sospettano che le attività di LockBit si concentrino principalmente nell’Europa dell’Est, soprattutto in Russia, ed il loro malware, come spesso accade, viene diffuso mediante attacchi di phishing mirati che, quando vanno a buon fine, vanno a esfiltrare e criptare i file delle vittime con le quali poi partirà una trattativa per fargli acquistare un software di decriptazione di loro produzione. Un’altra caratteristica del gruppo hacker LockBit è quella di essere molto numeroso e molto efficace nelle sue operazioni, contando una trentina di collaboratori che portano individualmente un bottino di circa settanta o ottanta vittime a testa.

La notizia di qualche giorno fa è proprio riferita ad uno di questi membri della cyber-gang, che in rotta con gli altri “colleghi” avrebbe contribuito a diffondere il codice sorgente del builder della versione più recente del ransomware, la 3.0. Tale strumento sarebbe stato pubblicato nei giorni scorsi su Twitter da un utente chiamato “ali_qushji” ed intercettato prontamente dagli esperti di cybersecurity che ne hanno verificato l’efficacia.

Il colpo economico per LockBit è evidente ed andrà a colpire il team in modo abbastanza pesante, anche in virtù del fatto che altri gruppi hacker possono adesso impossessarsi dello strumento per effettuare attacchi per conto proprio. Grazie a questo codice infatti è possibile modificare le caratteristiche del ransomware così come il messaggio di richiesta di riscatto da inviare alle vittime a seguito dell’attacco. Tutti questi strumenti sarebbero disponibili scaricando gratuitamente un semplice file eseguibile e sono già stati testati dagli esperti.

Uno dei leader del gruppo hacker, tuttavia, ha già dichiarato che le operazioni di LockBit non si fermeranno e, piuttosto, verranno cercati nuovi programmatori per creare una nuova versione modificata del malware. Il sito del gruppo, però, è ancora indisponibile, sicuramente a causa delle operazioni infrastrutturali intraprese a seguito del leak di informazioni.

 

Fonti: 1, 2, 3