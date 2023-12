I Lockbit sono tornati a colpire: l'8 dicembre hanno assaltato la pubblica amministrazione. Chi sono i banditi del web? Si tratta di una gang già nota in Italia, che qualche tempo fa ha colpito la Regione Lazio. Vediamo chi sono e cosa si sa sul loro conto.

Lockbit: chi sono i banditi degli attacchi hacker alla PA

A distanza di qualche tempo, si torna a parlare di Lockbit, il gruppo di hacker che nel 2021 ha colpito la Regione Lazio. Negli ultimi giorni, precisamente lo scorso 8 dicembre, la gang ha attaccato la Pubblica Amministrazione. Ma chi sono? Ovviamente, sul loro conto non si hanno molte informazioni.

Sappiamo che sono dei veri e propri criminali informatici, che hanno sviluppato diverse versioni del virus ransomware che porta il loro nome. Stando alle rivendicazioni che pubblicano online, dovrebbero essere russi, o comunque dell'Europa dell'Est. L'ultimo attacco, così come riferisce Westpole, azienda che fornisce servizi cloud alla PA, è stato fatto con la terza versione del ransomware, Lockbit 3.0. Questa mossa prevede la richiesta di riscatto in criptovalute, attualmente scelte in Zcash.

Sono giorni, ormai, che l’Agenzia per la cybersicurezza nazionale (Acn) è al lavoro per risolvere la situazione, ma l'attacco è piuttosto ampio. Al momento, Westpole è riuscita a ripristinare il 50% dei propri sistemi, ma la parte restante preoccupa, e non poco. Il timore più grande è uno: gli enti della Pubblica Amministrazione colpiti potrebbero non essere in grado di erogare alcuni servizi e obblighi ai propri dipendenti.

Lockbit in azione dal 2019: sono inarrestabili

I Lockbit sono in azione dal 2019 e, ad oggi, sono il gruppo di criminali informatici più longevi dell mondo della cybersicurezza. Dopo aver violato i sistemi informatici della Regione Lazio, di Thalesgroup, Accenture, Erg ed Engineering, adesso hanno attaccato 1300 enti della Pubblica Amministrazione.

I componenti della gang sono fra le 25 e le 30 unità e sono specialisti di settore, come: esperti nella diffusione del malware, esperti nell’evasione dei sistemi di rilevamento, programmatori ed esperti nella raccolta di credenziali di accesso. Ogni affiliato ha messo a segno tra le 70 e le 80 vittime, per un totale di 2200 cyber operazioni portate a termine con successo.

Su cosa agiscono i ransomware?

Il ransomware - quello dei Lockbit è una versione 3.0 - è un programma informatico dannoso che può infettare un dispositivo digitale. Dopo l'attacco, vengono bloccati gli accessi a tutti o ad alcuni contenuti (dati, foto, etc). Per tornare in possesso dei dispositivi e dei relativi contenuti si deve pagare un riscatto.

Come si manifesta un ransomware?

Generalmente, il ransomware attacca tramite la crittografia. Tutti i file che sono sul computer di un utente vengono crittografati dal virus e non possono essere sbloccati se non dietro pagamento di un riscatto. Questo è il modello tipico con cui agiscono i Lockbit.

Lockbit: come scelgono chi attaccare?

I Lockbit scelgono con cura chi attaccare. Molto probabilmente, sfruttano tecniche come il phishing, ma ad oggi il metodo più diffuso è l'acquisto di accessi Remote Desktop Protocol (RDP) già compromessi. In base al 'valore' della vittima cambia anche il prezzo: si va da poche decine fino a diverse migliaia di dollari.