I loro sforzi hanno raccolto quasi 1 miliardo di dollari e hanno avuto un impatto su oltre 12.000 vittime, tra cui aziende, professionisti, privati ed enti pubblici.
Politica: Non parliamo di politica. L'arma? Un malware che cripta i dati su un server compromesso così rapidamente da anticipare qualsiasi contromisura. Il fine? Il profitto. Questo è il loro manifesto.
Gli hacker russi del gruppo Lockbit hanno paralizzato il governo italiano con un attacco ransomware che ha preso in ostaggio i dati nelle giornate tra l'8 e il 18 dicembre.

Chi sono

Lockbit è un'organizzazione russa attiva da circa quattro anni. Il loro scopo è unicamente quello di fare soldi e per questa ragione, quando è scoppiata la guerra tra Russia e Ucraina, hanno mantenuto posizioni nette rifiutando qualsiasi discorso politico e il sostegno a qualsiasi parte. C'è una frase nella loro intervista che dimostra chiaramente quale sia la linea di pensiero. "La cosa più importante è non iniziare una guerra nucleare. La guerra cibernetica non è aggressiva e non è pericolosa come una guerra nucleare".
La gang, grazie al «ransomware as a service», opera appoggiandosi a piattaforme ransomware da cui è possibile ottenere sofisticati servizi finalizzati all'intrusione e specifici riguardo all'infrastruttura da violare. Sono circa 100 persone, ciascuno con compiti ben precisi, che si occupano di sviluppare il malware, individuare i punti di accesso e attaccare utilizzando lo stesso malware sviluppato. Una struttura piramidale ben articolata che ha un solo obiettivo: estorcere più soldi possibili.

La tecnica usata per generare profitti miliardari

Una doppia estorsione, è così che Lockbit minaccia i suoi target. E quando la vittima non paga non riavrà di certo l'accesso ai dati cifrati dal ransomware e verrà ulteriormente minacciata in riferimento alla pubblicazione dei dati sensibili. Non c'è un soggetto tipo da colpire, chiunque consenta un potenziale alto guadagno potrebbe ritrovarsi nel mirino.
I punti di accesso alla rete vengono acquistati nel dark web da figure denominate «initial access broker», ovvero informatici e hacker che "sondano" quotidianamente infrastrutture, server e reti alla ricerca di vulnerabilità e di punti di accesso da sfruttare. Da analisi svolte a maggio del 2022, Lockbit avrebbe guadagnato un miliardo di dollari colpendo oltre 12.000 vittime.

Il ransomware

A livello tecnico, gli hacker di Lockbit si infiltrano nelle reti molto prima di lanciare il ransomware. Solo dopo aver effettuato una serie di "movimenti strategici" all'interno della rete e prelevato i dati provvedono all'esecuzione del codice malevolo, ciò che rappresenta il vero e proprio attacco ransomware. E quello di Lockbit è tra i più veloci poichè utilizza la «cifratura a blocchi» e impiega decisamente meno tempo rispetto ad altre controparti.
Minor tempo per la cifratura equivale ad un maggior numero di macchine cifrate!

Cosa è successo in Italia in questi giorni

Quello che Lockbit sta facendo in Italia dall'8 dicembre, sfruttando una vulnerabilità «nota» a quanto sembra, è veicolare attacchi a Comuni ed altri enti pubblici. Tra i prodotti ancora bloccati ci sono i sistemi di fatturazione elettronica e di rendicontazione di buste paga, al punto che si è temuto che fosse a rischio il pagamento delle tredicesime per i dipendenti pubblici.
L'Acn - secondo quanto riferito da Frattasi - è intervenuta per analizzare la magnitudo dell'impatto, indicare le modalità di recupero dei dati e per supportare il ripristino dei servizi come pratica di resilienza.