Home » Sgominata la banda del ransomware LockBit dopo aver sottratto 120 milioni di dollari in Bitcoin

Sgominata la banda del ransomware LockBit dopo aver sottratto 120 milioni di dollari in Bitcoin

by Tim

LockBit, descritto dalle forze dell’ordine “come una delle bande di ransomware più prolifiche al mondo”, è stato smantellato in una campagna coordinata che ha coinvolto funzionari degli Stati Uniti, del Regno Unito e di una mezza dozzina di altri Paesi, hanno annunciato oggi diverse agenzie.

Il Dipartimento di Giustizia degli Stati Uniti ha reso pubblica un’accusa contro due uomini russi, Artur Sungatov e Ivan Kondratyev, per aver condotto attacchi LockBit contro aziende statunitensi. Sungatov avrebbe colpito produttori, compagnie assicurative e altre aziende in almeno sei stati a partire dal gennaio 2021.

“Oggi, le forze dell’ordine statunitensi e britanniche stanno portando via le chiavi delle loro operazioni criminali”, ha dichiarato il procuratore generale degli Stati Uniti Merrick Garland nel comunicato del DOJ. “E stiamo facendo un ulteriore passo avanti: abbiamo anche ottenuto le chiavi dell’infrastruttura LockBit sequestrata per aiutare le vittime a decriptare i sistemi catturati e a riottenere l’accesso ai loro dati”.

Kondratyev, conosciuto online come “Bassterlord”, avrebbe diffuso il ransomware su obiettivi che vanno dalle amministrazioni comunali alle aziende in Oregon, Porto Rico e oltreoceano a partire da agosto 2021.

La portata globale dell'operazione Cronos per abbattere LockBit. Immagine: Europol

La portata globale dell’operazione Cronos per abbattere LockBit. Immagine: Europol


L’Office of Foreign Assets Control (OFAC) del Dipartimento del Tesoro ha sanzionato Sungatov e Kondratyev, vietando a persone e aziende statunitensi di fare affari con loro e congelando qualsiasi bene sotto la giurisdizione degli Stati Uniti, e ha aggiunto nove indirizzi di portafogli Bitcoin ed Ethereum a loro collegati alla lista delle sanzioni.

L'”Operazione Cronos”, durata mesi, ha portato al sequestro di decine di server in Europa, Nord America e Australia, utilizzati per portare avanti gli attacchi ransomware di LockBit, che criptavano i dati delle vittime ed estorcevano loro pagamenti, secondo quanto annunciato martedì da Europol.

Le autorità hanno anche preso il controllo del portale sul dark web dove LockBit pubblicava i dati sensibili rubati alle vittime che si rifiutavano di pagare.

“Abbiamo ora distrutto la spina dorsale online del gruppo LockBit, una delle bande di ransomware più prolifiche al mondo”, ha dichiarato il direttore esecutivo di Europol Catherine De Bolle nel comunicato.

“Il primo passo per mettere i criminali informatici dietro le sbarre è denunciare i crimini informatici quando accadono”, ha aggiunto. “Quanto prima le persone denunciano, tanto più rapidamente le forze dell’ordine sono in grado di valutare le nuove metodologie e limitare i danni che possono causare”.

Che cos’era LockBit?

LockBit è apparso per la prima volta all’inizio del 2020, utilizzando un ransomware che cripta i file delle vittime e le blocca fuori dalle loro reti a meno che non paghino un riscatto, solitamente in criptovaluta. Secondo l’accusa del DOJ, i pagamenti venivano generalmente richiesti in Bitcoin.

Come altre bande di “ransomware-as-a-service”, LockBit operava attraverso un nucleo di sviluppatori che creavano gli strumenti di malware e gestivano l’infrastruttura, quindi reclutavano affiliati per infettare gli obiettivi in cambio di una parte dei proventi. Gli sviluppatori di LockBit gestivano un dashboard che consentiva agli affiliati di lanciare gli attacchi con pochi clic.

Nel 2022, LockBit ha superato altri ceppi di ransomware diventando il più diffuso al mondo, secondo Europol. Secondo il Dipartimento di Giustizia, il gruppo ha incassato oltre 120 milioni di dollari in riscatti da più di 2.000 vittime in tutto il mondo, con richieste totali che potrebbero raggiungere le centinaia di milioni.

LockBit ha acquisito notorietà per l’uso della “tripla estorsione”, minacciando le vittime non solo con i dati crittografati, ma anche con l’esposizione delle informazioni rubate e con attacchi denial-of-service paralizzanti.

Le autorità reagiscono

La task force “Operation Cronos”, composta da agenzie di polizia provenienti da 10 paesi, ha messo a dura prova LockBit per mesi. La svolta è arrivata con il sequestro di decine di server di comando e controllo su cui LockBit si basava per distribuire il ransomware e gestire le sue operazioni. Secondo Europol, le autorità hanno ora “preso il controllo dell’infrastruttura tecnica che consente a tutti gli elementi del servizio LockBit di operare”.

Di conseguenza, “più di 14.000 account disonesti responsabili dell’esfiltrazione o dell’infrastruttura sono stati identificati e inviati per la rimozione”, ha dichiarato l’agenzia.

Inoltre, funzionari francesi e statunitensi hanno arrestato o denunciato un elenco crescente di presunti membri di LockBit. La Polonia ha arrestato il sospetto ransomware Ivan Kondratiev nell’ottobre 2022, mentre un altro cittadino russo è stato arrestato in Ucraina.

Sono stati emessi tre mandati di arresto internazionali in relazione alla recente offensiva. Anche le autorità francesi hanno ottenuto cinque rinvii a giudizio. Nel frattempo le autorità hanno congelato i portafogli di criptovaluta che i membri di LockBit avrebbero utilizzato per il pagamento del riscatto.

“Questo sottolinea l’impegno a distruggere gli incentivi economici che guidano gli attacchi ransomware”, ha dichiarato il DOJ.

Aiutare le vittime a recuperare

Grazie al controllo dei sistemi di LockBit, le autorità hanno ottenuto le chiavi di decrittazione per aiutare centinaia di vittime a recuperare i propri dati.

“Stiamo ribaltando le sorti di LockBit, fornendo chiavi di decrittazione, sbloccando i dati delle vittime e perseguendo gli affiliati criminali di LockBit in tutto il mondo”, ha dichiarato nell’annuncio il vice procuratore generale Lisa Monaco.

Le vittime degli attacchi LockBit sono incoraggiate a contattare le forze dell’ordine attraverso un sito web del Dipartimento di Giustizia per determinare se i loro file possono essere decriptati.

Queste soluzioni sono state rese disponibili gratuitamente anche sul portale “No More Ransom”, disponibile in 37 lingue. Finora, più di 6 milioni di vittime in tutto il mondo hanno beneficiato di No More Ransom, che contiene oltre 120 soluzioni in grado di decriptare più di 150 tipi di ransomware.

Monaco ha dichiarato che l’operazione rappresenta un’importante battuta d’arresto per uno dei gruppi di ransomware più aggressivi, ma non sarà l’ultima azione contro i criminali informatici.

“La nostra indagine continuerà e siamo determinati come sempre a identificare e incriminare tutti i membri di LockBit, dai suoi sviluppatori e amministratori ai suoi affiliati”, ha dichiarato il procuratore Philip Sellinger. “Faremo luce su di loro come criminali ricercati. Non si nasconderanno più nell’ombra. “

Related Posts

Leave a Comment