Sab. Gen 18th, 2025

La vicenda

Negli ultimi anni, il nome “LockBit” è diventato sinonimo di devastazione informatica su scala globale. Questa potente piattaforma di ransomware-as-a-service (RaaS) è stata utilizzata per attacchi mirati contro infrastrutture critiche, aziende multinazionali, organizzazioni non profit, istituzioni sanitarie e governative, causando miliardi di dollari in danni. L’arresto e l’incriminazione di Rostislav Panev, un cittadino con doppia nazionalità russa e israeliana, rappresentano un importante passo avanti nella lotta contro il crimine informatico.

Panev, 51 anni, è accusato di essere uno dei principali sviluppatori del malware LockBit. Secondo il Dipartimento di Giustizia degli Stati Uniti (DoJ), avrebbe lavorato per il gruppo sin dalla sua creazione nel 2019 fino alla sua neutralizzazione nel febbraio 2024. Arrestato in Israele nell’agosto 2024, Panev attende ora l’estradizione negli Stati Uniti, dove dovrà rispondere delle accuse. Si stima che tra il 2022 e il 2024 abbia guadagnato circa 230.000 dollari tramite transazioni in criptovaluta, una frazione dei profitti illeciti attribuiti a LockBit, stimati in almeno 500 milioni di dollari.

L’arresto di Panev è un caso emblematico che evidenzia come i gruppi criminali informatici abbiano evoluto le loro tattiche, non solo attraverso la sofisticazione tecnologica, ma anche grazie alla struttura organizzativa. LockBit, con il suo modello di RaaS, rappresenta un esempio calzante di come la criminalità informatica stia diventando sempre più specializzata, con ruoli definiti che vanno dagli sviluppatori di malware ai gestori delle operazioni di riscatto. Questa struttura non solo aumenta l’efficienza del gruppo, ma rende più difficile per le autorità identificare e fermare tutti i responsabili.

LockBit: un arsenale digitale

LockBit si è affermato come uno dei gruppi ransomware più prolifici al mondo. Dal 2019, il gruppo ha colpito oltre 2.500 organizzazioni in almeno 120 paesi, tra cui 1.800 negli Stati Uniti. Nel febbraio 2024, un’operazione internazionale di polizia denominata Cronos ha portato al sequestro delle infrastrutture del gruppo. Tuttavia, nonostante l’apparente dissoluzione, alcuni segnali indicano che il gruppo stia pianificando un ritorno con la versione LockBit 4.0, attesa per il 2025.

Il modus operandi del gruppo è basato sull’utilizzo di strumenti altamente avanzati come StealBit, progettato per esfiltrare dati sensibili prima della crittografia. Questo approccio consente di aumentare la pressione sulle vittime, che rischiano non solo di perdere l’accesso ai propri sistemi, ma anche di vedere i propri dati sensibili esposti online. Gli attacchi hanno preso di mira settori strategici, mettendo in luce la vulnerabilità delle infrastrutture critiche e dei sistemi aziendali.

Panev avrebbe avuto un ruolo centrale nello sviluppo e nella manutenzione di questi strumenti, nonché nella fornitura di supporto tecnico agli affiliati del gruppo. Questo includeva l’implementazione di funzionalità innovative per disabilitare software antivirus e distribuire note di riscatto su tutte le stampanti di una rete compromessa. Il suo contributo tecnologico ha reso LockBit uno dei ransomware più difficili da contrastare.

Altri sviluppi nella lotta al ransomware

L’arresto di Panev è solo uno degli ultimi successi delle autorità nella lotta al ransomware. Negli ultimi anni, diversi membri di gruppi criminali come NetWalker e Raccoon Stealer sono stati arrestati e condannati:

  • NetWalker: Daniel Christian Hulea, affiliato romeno, è stato condannato a 20 anni di prigione e al pagamento di oltre 21 milioni di dollari in restituzioni. NetWalker si era distinto per attacchi al settore sanitario durante la pandemia di COVID-19. Questo tipo di attacchi ha evidenziato l’estrema vulnerabilità delle strutture sanitarie, già messe a dura prova dalla crisi pandemica. Le implicazioni per la sicurezza nazionale sono state significative, spingendo molte nazioni a rafforzare le proprie difese cibernetiche.
  • Raccoon Stealer: Mark Sokolovsky, sviluppatore ucraino, è stato condannato a 5 anni di prigione per il suo ruolo nello sviluppo di un malware-as-a-service utilizzato per rubare dati sensibili da milioni di dispositivi in tutto il mondo. Il caso di Sokolovsky sottolinea l’importanza di affrontare non solo i distributori di malware, ma anche coloro che sviluppano e offrono questi strumenti come servizi.
  • SQL Injection e Riciclaggio: Vitalii Antonenko, un cittadino di New York, è stato condannato per traffico di dati rubati e riciclaggio di denaro ottenuto attraverso attacchi informatici. Questo caso dimostra come le tecniche di attacco più tradizionali, come l’SQL injection, continuino a essere utilizzate con successo dai criminali informatici, spesso in combinazione con metodi più avanzati.

Analisi tecnica: il modus operandi di LockBit

LockBit ha rivoluzionato il modello di ransomware, adottando una struttura RaaS che ha facilitato l’accesso al cybercrimine anche a utenti meno esperti. Affiliati del gruppo utilizzavano il LockBit builder, un software creato per generare versioni personalizzate del ransomware. Il pannello di controllo centralizzato permetteva la gestione delle operazioni di estorsione, mentre strumenti come StealBit garantivano l’esfiltrazione rapida dei dati.

Il malware includeva funzionalità per disabilitare software antivirus e distribuire automaticamente note di riscatto su tutte le stampanti di una rete compromessa. L’arresto di Panev ha svelato dettagli cruciali, come l’accesso a credenziali amministrative per repository contenenti il codice sorgente del ransomware e comunicazioni dirette con altri membri del gruppo. Inoltre, il caso ha permesso di comprendere meglio le dinamiche interne del gruppo, rivelando un’organizzazione meticolosa e gerarchica.

Contesto globale e futuro

La collaborazione internazionale tra autorità, come nel caso dell’operazione Cronos, rappresenta un modello efficace per contrastare gruppi come LockBit. Tuttavia, il ritorno annunciato del gruppo solleva dubbi sulla capacità di sradicare definitivamente il fenomeno del ransomware. Nuove versioni del malware potrebbero sfruttare tecnologie emergenti per diventare ancora più sofisticate e pericolose.

Le autorità dovranno continuare a rafforzare le difese cibernetiche, investire nella formazione di personale specializzato e promuovere la cooperazione internazionale per prevenire il riemergere di minacce su larga scala. Inoltre, è fondamentale che le organizzazioni adottino misure preventive, come l’implementazione di backup regolari, la segmentazione delle reti e la formazione dei dipendenti sulla sicurezza informatica.

Il panorama della cybersicurezza continuerà a evolversi, e con esso le strategie di attacco e difesa. La capacità di adattarsi rapidamente alle nuove minacce sarà cruciale per mitigare i rischi e proteggere le infrastrutture critiche a livello globale.


Questo articolo scritto da Raffaele Di Marzio (https://www.linkedin.com/in/raffaeledimarzio/), può essere utilizzato per le analisi AI del podcast prodotto da Cyberium Media Miami per la piattaforma Apple Podcast, e distribuito anche su YouTube, YouTube Music, Amazon Music, Audible, Spotify, iHeartRadio, e Deezer. Il Podcast è una analisi indipendente e trasparente del mondo della cybersecurity, del cyberlegal e delle compliance, ed esplora le riflessioni e contenuti dell’autore attraverso analisi e tecniche di intelligenza artificiale, basate su da Gemini Pro. Tutti i podcast sono disponibili qui: https://technocratico.it/cyberium-podcast/