LockBit: l’operazione Cronos dimostra che per molti criminali informatici il ransomware non paga

LockBit: l’operazione Cronos dimostra che per molti criminali informatici il ransomware non paga
LockBit: l’operazione Cronos dimostra che per molti criminali informatici il ransomware non paga
-

Dmitry Yuryevich Khoroshev. Si tratta del nome della persona designata dalle autorità di diversi paesi coinvolti nell’operazione Cronos come operatore del franchise mafioso LockBit 3.0, noto anche con lo pseudonimo di LockBitSupp.

Questo cittadino russo di 31 anni, con un’identità ben documentata – anche da Baptiste Robert di Predica Labs – è ora oggetto di una ricompensa fino a 10 milioni di dollari da parte dell’FBI e del Dipartimento di Giustizia della Difesa degli Stati Uniti. Dall’altra parte dell’Atlantico è sotto processo per 26 capi d’imputazione.

Ma alcune rivelazioni meno clamorose di questo martedì 7 maggio potrebbero causare molto scompiglio nel mondo del crimine informatico.

Prima lezione: chi trae vantaggio dalla criminalità? Apparentemente non così tante persone come potrebbe sembrare a prima vista. Secondo le forze di polizia coinvolte nell’operazione Cronos, 114 dei compari registrati nell’infrastruttura di LockBit prima dell’inizio dell’operazione non hanno mai prelevato un centesimo.

Nel dettaglio, un massimo di 80 affiliati sembrano essere riusciti a ottenere benefici finanziari dal loro impegno nel franchising.

In totale tra giugno 2022 e febbraio 2024 sono stati effettuati circa 7000 attacchi sfruttando l’infrastruttura LockBit 3.0. Secondo quanto riferito, durante il periodo sono state avviate discussioni con 47 vittime francesi, su un totale di 178.

Questi dati, confrontati con le denunce pubblicate quando la vittima non paga, nonché con i ritardi osservati nella pubblicazione di alcune denunce, suggeriscono che molte vittime che non hanno ceduto al ricatto non sono mai state inchiodate sul sito vetrina del franchise mafioso. . Il che tende anche a suggerire una percentuale di successo degli attacchi – quando comportano quindi un pagamento – molto più limitata di quanto molte stime – e ancor più sondaggi – abbiano suggerito finora.

Ma c’è forse una cosa ancora più importante: le forze dell’ordine hanno lanciato un segnale molto forte all’ecosistema che ruota attorno a LockBit 3.0. È semplice: “ti stiamo osservando”.

Perché se a fine febbraio LockBitSupp si è impegnata a ricostruire rapidamente un’infrastruttura, gli elementi ora resi pubblici suggeriscono che le autorità vi avevano accesso. Secondo loro, da febbraio sono stati creati circa 69 conti sull’infrastruttura del franchising mafioso.

Ciò conferma che LockBit ha potuto riprendere le proprie attività e riconquistare la fiducia di alcuni associati. Ma rischiano di prendere piuttosto male le nuove rivelazioni della polizia e di ritirare la loro fiducia nel franchise.

È una buona notizia per le vittime recentemente attaccate da LockBit 3.0? Non è sicuro. La truffa dell’uscita di Alphv all’inizio dell’anno ha messo in luce la fluidità dei rapporti tra i criminali informatici, con uno di loro che è passato dal franchise noto anche come BlackCat a un altro, RansomHub. Non si può escludere uno scenario paragonabile.

Senza contare un brand come Snatch, il cui ruolo di riciclatore e riciclatore di dati rubati è ormai consolidato.

Alcuni commenti arrabbiati contro LockBitSupp sono già apparsi nei forum frequentati soprattutto dai criminali informatici e dagli analisti di threat intelligence. Una semi-sorpresa se il dossier d’accusa americano assicura che già in febbraio l’interessato si era offerto alle autorità locali di fornire informazioni sui… suoi concorrenti.

-

PREV Stormy Daniels testimonia martedì al processo di Donald Trump a New York
NEXT Vengono organizzati gli aiuti nel Brasile meridionale prima di altre piogge