Chi sono gli hacker di LockBit e lo spettro della guerra ibrida

La cybergang nata nel 2019 è diventata la più attiva al mondo con il 30,2% di tutte le estorsioni diffuse sul web

Attacco della cybergang LockBit

Attacco della cybergang LockBit

Roma, 25 luglio 2022 - L'ultimo "colpo" - se confermato - sarebbe quello di oggi ai danni dell'Agenzia delle Entrate, ma gli attacchi riconducibili alla gang criminale LockBit sono centinaia ai danni di aziende e istituzioni di tutto il mondo. Sotto il nome di LockBit rientra un'organizzazione attiva da giugno 2019 e localizzata nell'Est Europa, molto proabilmente in Russia, che riunisce qualche decina di hacker ed esperti di sistemi informatici specializzati in cyberattacchi a scopo di estorsione. 

Agenzia delle Entrate e l'attacco hacker, i dubbi dell'esperto. "Così si buca il sistema"

Il gruppo prende il nome proprio dal loro ransomware che hanno inventato - chiamato appunto LockBit e attualmente sviluppato fino alla versione 3.0 - un software dannoso che si sta rivelando come uno dei programmi più efficaci nella strategia dei cybericatti: una volta che il ransomware LockBit entra nell'obiettivo, lo cripta, quindi blocca l'accesso degli utenti al sistema informatico vittima dell'attacco e non lo libera se non in cambio del pagamento di un riscatto. Inoltre la versione LockBit 3.0 rilasciata da poche settimane - quella che con tutta probabilità ha colpito anche l'Agenzia delle Entrate - utilizza anche un nuovo modello di estorsione basata su un programma cosiddetto di bug bounty che consente alle vittime della cybergang criminale di riacquistare i dati rubati durante l'attacco. Il gruppo LockBit accetta pagamenti nelle criptovalute Zcash, Monero e Bitcoin che tutelano l'anonimato delle transazioni.

Agenzia delle Entrate sotto attacco hacker di LockBit: "Avete 5 giorni"

Cos'è la guerra ibrida

Un attacco ransomware ha normalmente finalità economiche per la cybergang che lo mette a segno, quindi quella di estorcere più denaro possibile dalle vittime, ma come ha detto Pierguido Iezzi, ceo di  Swascan, polo della cybersicurezza del Gruppo Tinexta, dopo il presunto attacco all'Agenzia delle Entrate, un obiettivo istituzionale della Pubblica amministrazione "non ha potenzialmente solo un valore economico derivante dalla richiesta di un riscatto: i dati trattati dalle agenzie governative possono essere anche uno strumento di guerra ibrida".

Una guerra ibrida (in inglese hybrid warfare) è una strategia che combina diverse operazioni e modalità di intervento contro un obiettivo avversario con lo scopo di arrecare i maggiori danni possibili in ogni campo, non solo fisici, economici e strutturali ma anche diplomatici, legali, informativi e di influenza dell'opinione pubblica. Rientrano nella strategia di guerra ibrida tutte quelle attività, militari e non, che non sono convenzionali, come operazioni irregolari, attacchi cybernetici o altri strumenti di influenza, come fake news, diplomazia, battaglie legali con scopi mirati e fino anche agli interventi elettorali. L'effetto principale che ne deriva è la creazione di una zona grigia dove il confine tra guerra e pace è elusivo. Si crea una situazione di ambiguità che si mantiene al di sotto della soglia di guerra "tradizionale" tra Stati coinvolti e non soggetta al diritto internazionale che è fermo ad una nozione classica di guerra cinetica e tra avversari dichiarati. 

Il rapporto 2022 sulle "Gang Ransomware"

Sono 707 gli obiettivi attaccati in 62 Paesi nel secondo trimestre del 2022, in crescita del 37% sul medesimo periodo del 2021 e del 30% sul trimestre precedente, con un incremento significativo delle piccole e medie imprese vittime di ransomware: il 72% delle aziende vittime di esfiltrazioni di dati accompagnate a richieste di riscatto hanno un fatturato inferiore ai 250 milioni di dollari. Questo il frutto della razzia sul web delle prime quindici cybergang più attive nel secondo trimestre 2022, stando a quanto riporta il rapporto 'Gang Ransomware Q2' redatto dal Soc e Threat Intelligence team di Swascan.

Il rapporto, unico nel suo genere per mole di dati e continuità di analisi, è stato diffuso pochi giorni fa e fornisce una mappa aggiornata dell'attività cybercriminale in rete al quinto mese del conflitto ucraino. "Nel secondo trimestre 2022 - come riporta nel rapporto il ceo di Swascan, Pierguido Iezzi - si è osservato un significativo aumento degli attacchi ransomware, principalmente a causa di un picco di attività da parte di uno dei gruppo più prolifici, LockBit, che raggiunge una media di 6.6 vittime al giorno, superando definitivamente la gang Conti. Ad aprile - aggiunge Iezzi - sono emerse tre nuove gang ransomware: Onyx, Mindware e Black Basta. Allo stesso tempo, si è visto lo sgradito ritorno di Revil, uno dei gruppi più pericolosi al mondo, mentre Conti è gradualmente scomparsa, con alcuni suoi leader transitati in altre gang".

Scorrendo la classifica delle cybergang più attive nel secondo trimestre 2022, al primo posto con oltre 200 attacchi messi a segno, si è imposta la gang LockBit, in netta progressione dall'inizio dell'anno, che mette a segno il 30,2% di tutti gli attacchi ransomware del periodo preso in esame. Per capire il volume d'affari di queste attività criminali basti pensare che nel 2021 la gang Conti - che non è più attiva da giugno ed era considerata la più pericolosa al mondo - aveva un giro di estorsioni di 180 milioni di dollari distribuiti tra le sue vittime.