La fuga di notizie di LockBit mostra che gli affiliati usano tattiche di pressione e raramente vengono pagati

LockBit, uno dei gruppi di ransomware più prolifici al giorno d'oggi, è stato violato la scorsa settimana, rivelando con chiarezza le sue operazioni interne. I file trapelati, resi brevemente accessibili tramite un sito onion sulla rete Tor, hanno offerto a ricercatori e professionisti della sicurezza un'insolita panoramica su come LockBit gestisce la sua operazione di ransomware-as-a-service ( RaaS ).

Si ritiene che la violazione abbia avuto origine da qualcuno con accesso all'infrastruttura di LockBit, ai registri delle chat esposti, ai record di build del ransomware, ai file di configurazione, agli indirizzi dei wallet Bitcoin e agli identificativi di affiliazione. Mentre i gruppi ransomware sono solitamente al centro dell'attenzione, questa volta sono diventati oggetto di analisi.

Rhys Downing, analista del Security Operations Center di Ontinue, ha guidato l'analisi approfondita dei dati trapelati. Il suo lavoro descrive in dettaglio i metodi operativi del programma di affiliazione di LockBit, incluso il modo in cui gli aggressori creano payload, stimano le richieste di riscatto e conducono le negoziazioni.

L'analisi di Downing rivela anche la natura strutturata dell'ecosistema di LockBit e analizza l'infrastruttura del gruppo, evidenziando quanto sia diventata organizzata questa rete criminale.

Uno dei dati più importanti trapelati è una tabella nota internamente come "build", che registra ogni payload ransomware creato dagli affiliati di LockBit. Ogni record include dettagli come ID affiliato, chiavi di crittografia pubbliche e private, riferimenti alle aziende prese di mira e richieste di riscatto dichiarate.

Queste stime sono state inserite manualmente dagli aggressori stessi prima di lanciare i payload, rivelando informazioni sulle loro strategie di prezzo e sulla selezione degli obiettivi. Alcune richieste di riscatto erano esagerate: voci come "303kkk" (303 milioni di dollari) sembrano essere dati di prova, ma altre mostrano un approccio più calcolato. Ad esempio, un affiliato ha registrato quattro build per un valore dichiarato complessivo di oltre 168 milioni di dollari.

Nonostante centinaia di build di ransomware e richieste di riscatto aggressive, solo 7 vittime su 246 hanno effettuato un pagamento. E, cosa interessante, nessuna ha ricevuto conferma di aver ricevuto uno strumento di decrittazione. Non è chiaro se ciò sia avvenuto perché i dati sono incompleti o perché qualcuno li ha omessi di proposito.

I numeri chiariscono un fatto: la maggior parte delle vittime non paga, e ancora meno ricevono qualcosa in cambio. Questo è in linea con la recente violazione dei dati di PowerSchool , in cui l'azienda di tecnologia per l'istruzione ha pagato un riscatto non reso noto ai criminali informatici per prevenire ulteriori ricadute, solo per vedere gli aggressori tornare con ulteriori richieste, questa volta rivolte a insegnanti e studenti.

Per quanto riguarda LockBit, il database trapelato ha mostrato che il campo che contrassegnava le commissioni pagate agli affiliati era maggiore di zero solo nel 2,8% dei casi. Ma anche questa non è una prova definitiva del pagamento del riscatto.

Secondo l' Ontinue Threat Report , sono trapelate anche oltre 4.000 trascrizioni di chat tra affiliati di LockBit e vittime. Questi messaggi mostrano un mix di pressioni calcolate, manipolazione emotiva e minacce esplicite. In diversi casi, gli affiliati hanno ignorato le richieste di pietà e raddoppiato il prezzo del riscatto senza preavviso.

Un affiliato ha risposto a un'azienda che sosteneva di essere una piccola impresa: “Your size is irrelevant. Your data is valuable.”

Un'altra conversazione conteneva un messaggio che promuoveva il programma di affiliazione di LockBit in un bizzarro pitch di reclutamento: “Want a Lamborghini, a Ferrari and lots of ti**y girls? Sign up and start your pentester billionaire journey in 5 minutes with us.”

Queste conversazioni dimostrano che gli affiliati di LockBit si comportano più come venditori invadenti che come hacker/criminali informatici. Le tattiche variano dalla pressione psicologica agli avvertimenti di non coinvolgere le forze dell'ordine o le compagnie assicurative.

Ciò che colpisce nei dati è il livello di organizzazione. LockBit utilizza generatori di payload modulari, dashboard di affiliazione e una solida infrastruttura backend. Gli affiliati possono modificare le configurazioni di build per controllare ogni aspetto, da quali file crittografare a se il decryptor si autoelimina dopo l'uso.

Hanno addirittura lanciato un programma bug bounty su uno dei loro siti onion, offrendo ricompense per le vulnerabilità scoperte nella loro infrastruttura.

La violazione si ricollega anche a una precedente azione delle forze dell'ordine. L'Operazione Cronos , una campagna guidata dalla National Crime Agency del Regno Unito e da altri, aveva precedentemente rivelato nomi utente collegati alle attività di LockBit. Molti di questi nomi utente sono stati confermati in questa nuova fuga di notizie, corrispondendo agli ID trovati nei dati del payload.

Tra gli utenti più noti ricordiamo:

• Ashlin con il maggior numero di payload generati

• Rich, Melville e Merrick come altri operatori ad alto volume

Questa connessione conferma ulteriormente che il team principale della gang e i suoi affiliati di alto livello sono rimasti coerenti anche dopo i passati tentativi di smantellamento .

In poche parole, l'analisi della violazione dei dati condotta da Ontinue chiarisce alcuni aspetti, come il fatto che LockBit funziona come un franchising. L'azienda fornisce il malware, gli affiliati eseguono gli attacchi e tutti ricevono una parte del riscatto.

Questa fuga di notizie dimostra che molti affiliati trattano i loro attacchi come se fossero delle chiamate di vendita, registrando i rendimenti attesi, gestendo le trattative e seguendo passaggi strutturati per fare pressione sulle vittime. Ma proprio come un tentativo fallito di vendere qualcosa, la maggior parte di questi tentativi sembra fallire.

Secondo Saeed Abbasi , Responsabile della Ricerca sulle Vulnerabilità di Qualys, la violazione rappresenta una preziosa fonte di informazioni per i difensori. "Comprendendo quali sistemi LockBit ha preso di mira e come le affiliate hanno personalizzato i payload, i team di sicurezza possono dare priorità alle patch, rafforzare i sistemi trascurati e migliorare i controlli di accesso di base", ha affermato.

L'utilizzo di Tor da parte di LockBit rimane una difesa fondamentale, rendendo i loro siti difficili da bloccare. Tuttavia, la fuga di notizie suggerisce che nessun sistema, nemmeno quello gestito da criminali informatici, è veramente sicuro.

La violazione di LockBit ha svelato un'operazione ransomware che ha colpito aziende in tutto il mondo . Conferma ciò che gli esperti di sicurezza sospettavano da anni: i gruppi ransomware funzionano come le aziende, con tanto di onboarding degli affiliati, gestione dell'infrastruttura e pianificazione finanziaria.