Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Alessio Stefan : 7 Agosto 2024 08:11
LockBit sta sicuramente cercando in tutti i modi di riottenere quella immagine inscalfibile che si è persa man mano dall’inizio dell’anno 2024, persino gli ex-affiliati del gruppo RADAR & DISPOSSESSOR hanno confermato come molte dichiarazioni fatte dal RaaS siano state tutt’altro che veritiere (recuperate la intervista inedita di RHC dove se ne è parlato nello specifico). Opportuno ricordare come dopo Operation Cronos LockBitSupp, l’admin del gruppo, abbia dichiarato di voler attaccare sempre più bersagli e non fermarsi nonostante il colpo ricevuto. In questo articolo andremo a fare una breve analisi sulle ultime notizie ed attacchi rigurdante il RaaS #1 e se le promesse post-Cronos sono state mantenute.
Nelle scorse settimane sono circolate sul canale telegram PLAY NEWS (ransomware) delle chat tra, presumibilmente, RansomwarePlay e LockBitSupp. Come gia descritto in precedenza, LockBit ha fatto uno statement pubblico dove veniva annunciato un canale di comunicazione diretto con LBSupp e che chiunque avrebbe ricevuto risposta.
Vuoi diventare un Ethical Hacker?
Non perdere i nostri corsi e scrivi subito su WhatsApp al numero
375 593 1011 per richiedere informazioni dicendo che hai trovato il numero sulle pagine di Red Hot Cyber
Supporta RHC attraverso:
Il post telegram annuncia che Play avrebbe pagato una somma di $35.000 per un tool (non ben specificiato) ed ulteriore training riguardo a dei “encryption attacks”. Chiaramente c’è più di qualcosa che non torna :
Alla luce di questi punti tutto lascia pensare che si tratti di una fake news, cavalcando le precedenti dichiarazioni di LockBit per darle un’aura veritiera. Non è ancora chiaro il motivo ne tantomeno l’origine di questa falsa notizia e rimaniamo in attesa di aggiornamenti.
LB non ha mai cessato completamente le attività e rimane tutt’ora il gruppo con il più alto numero di attacchi. Il più particolare riguarda “La Grande Loge Nationale”, loggia massonica francese che non ha ancora, alla scrittura di questo articolo, dichiarato nulla a riguardo.
Sempre nella stessa data (25 luglio) è stato pubblicato un’altra azienda, questa volta nel settore education, chiamata Education for the 21st Century. Anche per questa azienda, per ora, non ha rilasciato dichiarazioni a riguardo.
Considerare che nella settimana 17-23 Luglio 2024 LockBit ha collezzionato 20 vittime diverse portandolo chiaramente nel posto più alto del podio, un traguardo non male per essere stato sottoposto ad un trattamento speciale da parte delle forze dell’ordine a Maggio 2024. Recentemente sono stati processati 2 operatori di LB che si sono dichiarati colpevoli e, se le dichiarazioni della taskforce Cronos verranno mantenute, molti altri sono sotto indagine ed analisi dalle forze dell’ordine. Nonostante ciò il core di LB rimane attivo facendo si che il modello di businesse del RaaS non si fermi.
Per chi non ne fosse a conoscenza è importante considerare che il DLS di LockBit ora necessita di un passcode per accedervi, oltretutto i mirror onion cambiano molto frequentemente rendendo difficile un monitoraggio continuo dei post. Non è chiara la scelta dell’utilizzo di un passcode per la visualizzazione dei post mentre il continuo ciclo dei siti mirror potrebbe confermare dei cambiamenti tecnici in atto. Quello che è certo è che sarà molto più complicato monitorare le azioni di LB e non si può totalmente escludere che sia una scelta voluta.
Se vi siete apposionati alla vicenda di LockBit-Cronos vi ricorderete sicuramente il post Wanted – DMITRY YURYEVICH KHOROSHEV dichiarato di essere responsabili delle azioni di LB. Al momento non sono fuoriuscite notizie riguardo a questa persona, nè dal RaaS nè dalle forze dell’ordine. Operation Cronos sembra essersi concluso con danni marginali ai criminali ma è importante considerare che su lungo termine potrebbero esserci dei novi risvolti, nel 2023 LB ha impattato sui dati di 7.8 millioni di cittadini americani rendendolo una minaccia nazionale da non sottovalutare.
Che ci piaccia o no lockBit continua ad influenzare la scena, abbiamo RaaS nuovi come BrainCipher (attacco al PDU indonesiano) che sono nati partendo dal codice leakato di LB3.0. Inoltre possiamo vedere come venga continuamemente citato, vuoi per la sua immagine ed influenza, in maniera indebita o meno. Ciò che impariamo in questo breve articolo è di non fidarsi subito di ciò che si viene a conoscenza e di unire il ragionamento con le conoscenze che abbiamo per capire realmente quale sia la verità. In questo la cyber threat intelligence gioca un ruolo fondamentale per rimanere on-point su quello che accade nelle cosidette “undergrounds” e non accontentarsi di quello che viene portato in superficie.
LockBit ha puntato tanto sulla sua brand identity ed ora è l’unica cosa che li rimane per il basso numero di affiliati e, in particolar modo, al raid di Cronos che ha permesso di ottenere un buon numero di chiavi di decrypt disponibile gratuitamente sul sito CISA #StopRansomware. LB potrà anche avere un numero alto di attacchi (per ora) ma questo non specifica in nessun modo i guadagni o efficenza del RaaS. Akira sembra essere un nuovo big player designato a rimanere nella scena per anni, RansomHub è stata capace di rubare i talent agli altri RaaS presentandosi come uno dei gruppi con il più alto numero di affiliati e tutti i nuovi rookie che stanno emergendo da inizio 2024 stanno facendo concorrenza a LB in termini di nuovi affiliates che sono la linfa vitale per ogni RaaS.
Alessio Stefan
Redazione: [email protected]
© Copyright RED HOT CYBER. PIVA 16821691009