A un anno esatto dall’operazione internazionale Operation Cronos, che ha smascherato e incriminato il presunto leader del gruppo ransomware LockBit, un hacker anonimo ha colpito nuovamente, compromettendo i siti di data leak del gruppo e pubblicando un messaggio provocatorio: “Don’t do crime, CRIME IS BAD xoxo from Prague”. Lo stesso messaggio era già comparso ad aprile sul sito del gruppo Everest, costringendolo a chiudere.

Questa nuova incursione ha comportato la pubblicazione di un archivio da 7,5 MB contenente un database SQL presumibilmente sottratto a LockBit, con dati aggiornati fino al 29 aprile 2025. Secondo gli analisti, tra cui Alon Gal di Hudson Rock e Milivoj Rajić di DynaRisk, il contenuto del dump è autentico e potenzialmente esplosivo. Tra i dati emergono circa 60.000 indirizzi di wallet Bitcoin, alcuni dei quali ancora attivi e contenenti fondi, inclusi almeno 100.000 dollari in criptovalute. Questi elementi potrebbero fornire agli investigatori un’importante risorsa per risalire agli affiliati del gruppo seguendo le tracce dei pagamenti.

Il database comprende anche profili dettagliati delle vittime, con nomi di dominio, fatturato stimato e configurazioni personalizzate del ransomware usato. Include inoltre le ID Tox degli affiliati, che potrebbero permettere di identificarne ulteriori attività, e, secondo l’esperto di Rapid7 Christiaan Beek, le chat trapelate mostrano l’estrema aggressività di LockBit nelle negoziazioni con le vittime, con richieste che vanno da poche migliaia di dollari a somme ben più elevate.

lockbit

Secondo il ricercatore francese Valery Rieß-Marchive, dal leak emergono oltre 35 affiliati attivi dal dicembre 2024 e altrettanti classificati come “in pausa”. L’attacco al sito è stato attribuito a una vulnerabilità PHP (un exploit zero-day o one-day), che avrebbe permesso l’accesso al pannello di gestione del gruppo ransomware.

La violazione arriva in un momento delicato per LockBit, già colpito duramente dall’operazione congiunta delle forze dell’ordine internazionali nel 2024, che aveva portato all’identificazione del russo Dmitry Khoroshev, ritenuto il volto dietro l’identità “LockBitSupp”. In quell’occasione, FBI e NCA avevano ottenuto conversazioni interne, chiavi di decrittazione e informazioni cruciali sugli affiliati.

In seguito al nuovo attacco, LockBit ha tentato di minimizzare i danni, sostenendo che l’intrusione ha coinvolto solo un pannello secondario con registrazione automatica e che né i dati sensibili delle vittime, né i decryptor sono stati compromessi. Tuttavia, lo stesso LockBitSupp ha ammesso che sono stati trafugati wallet e conversazioni interne, riconoscendo l’impatto sull’immagine del gruppo. In un apparente gesto di controffensiva, il gruppo ha offerto una ricompensa per l’identificazione dell’hacker noto come “Prague” o “xoxo”.

Nonostante i tentativi di salvare la faccia, per molti osservatori LockBit è solo l’ombra di sé stesso. Dopo aver dominato la scena ransomware per anni insieme a gruppi come BlackCat (Alphv), oggi appare ridimensionato e secondo Coveware, società specializzata in incident response, il mercato del ransomware è diventato sempre più frammentato e meno redditizio per i gruppi criminali, anche a causa dell’efficacia crescente delle operazioni congiunte delle forze dell’ordine occidentali e di strategie che un tempo garantivano profitti sicuri e che oggi si stanno rivelando sempre meno efficaci.

(Immagine in apertura: Shutterstock)