È di fondamentale importanza che Lockbit sia di nuovo visibile rapidamente. Presumibilmente le vittime sono meno disposte a pagare finché circolano voci secondo cui il gruppo non è più operativo.
“Ora è noto che Lockbit, contrariamente alle sue stesse dichiarazioni, non cancella i dati rubati. Un motivo in più per tenere duro e non pagare in caso di ricatto. Hanno creato un nuovo sito di perdita di file .onion. Il gruppo sostiene che le autorità inquirenti hanno sfruttato una vulnerabilità PHP per la rimozione. Questa è una campagna di pubbliche relazioni. Lockbit vuole mettere in prospettiva i danni causati dall'abbattimento e mostrare forza. Secondo le sue informazioni, Lockbit è stato compromesso da una vulnerabilità PHP sconosciuta. Sono stati compromessi solo i server che eseguivano PHP. L'affermazione non sembra plausibile per due ragioni: se non sanno esattamente come sono stati compromessi, come possono essere sicuri che sia avvenuto tramite PHP? L'affermazione sui server interessati sembra una limitazione dei danni alla comunicazione o semplicemente un pio desiderio.
L'azione delle autorità inquirenti è stata estremamente capillare e ha preso di mira i tre elementi che costituiscono la vera forza di un brand di ransomware-as-a-service: il brand stesso, le organizzazioni partner che realizzano le operazioni e, non ultimo, il gruppo attività finanziarie. L'attacco contro il gruppo nel dark web è stato supportato da massicce azioni nel mondo reale, come l'arresto di persone che lavorano con Lockbit. Il sito web sequestrato è stato utilizzato dalle autorità investigative per inviare un messaggio di avvertimento direttamente ai partner, il sito di fuga di Lockbit e il marchio Lockbit sono stati utilizzati per deridere e denigrare Lockbit e le organizzazioni partner. Inoltre, le autorità inquirenti affermano di aver confiscato più di 200 portafogli contenenti criptovalute e più di 1.000 codici di decrittazione.
Lockbit è protetto dai procedimenti giudiziari
Sfortunatamente, due cose suggeriscono che Lockbit potrebbe tornare alla ribalta: molti membri hanno probabilmente sede in Russia o in ex stati sovietici filorussi e sono quindi protetti dalle forze dell’ordine internazionali. Inoltre, le autorità investigative hanno messo una taglia di 15 milioni di dollari sulle informazioni che consentirebbero di identificare i leader del gruppo Lockbit, il che farebbe pensare che purtroppo attualmente non conoscano queste persone." (Rüdiger Trost, esperto di sicurezza informatica presso WithSecure)
Altro su WithSecure.com
Informazioni su WithSecure WithSecure, precedentemente F-Secure Business, è il partner di fiducia nella sicurezza informatica. I fornitori di servizi IT, i fornitori di servizi di sicurezza gestiti e altre aziende si affidano a WithSecure, così come i grandi istituti finanziari, le aziende industriali e i principali fornitori di tecnologie e comunicazioni. Con il suo approccio alla sicurezza informatica orientato ai risultati, il fornitore di sicurezza finlandese aiuta le aziende a mettere la sicurezza in relazione alle operazioni e a proteggere i processi e prevenire interruzioni dell'attività.