Site icon Panda Security Mediacenter

Novità ransomware: smantellato il gruppo LockBit

Novità ransomware: smantellato il gruppo LockBit

Novità ransomware: smantellato il gruppo LockBit

Un’operazione di polizia internazionale ha portato all’interruzione dell’attività criminale del famoso gruppo hacker LockBit e all’arresto di alcuni dei suoi membri più importanti.

Siamo lieti di condividere una buona notizia sul fronte della lotta contro il cybercrimine: il 20 febbraio, l’agenzia britannica NCA ha annunciato che, in collaborazione con altri 9 paesi, ha portato a termine la Operation Cronos, che si è conclusa con l’interruzione delle attività criminali del gruppo LockBit, conosciuto per i suoi attacchi ransomware, e con l’arresto di alcuni dei suoi membri più importanti.

In questo post parliamo di ransomware, di polizia contro hacker, delle nuove frontiere del cybercrimine e di come proteggersi dai ransomware. Buona lettura!

Smantellato il gruppo LockBit

LockBit è un gruppo hacker di cui si sa relativamente poco, a parte il fatto che ha membri di molti paesi diversi e ha lanciato un nuovo modello di cybercriminale, che opera come un vero imprenditore, rivendendo i propri servizi e i propri malware ad altre persone. Questo è il modello di cybercrimine che ha preso il nome di RaaS, ovvero ransomware as a service.

La polizia di 10 paesi – tra cui la Francia e la Germania ma non l’Italia – ha condotto lunghe ricerche per mesi, fino a localizzare e arrestare alcuni dei membri più importanti di LockBit, tra cui due cittadini russi (Artur Sungatov e Ivan Kondratyev). La polizia è riuscita a interrompere le operazioni di LockBit, bloccare i siti web e sequestrare i server. Cosa ancora più importante, ha scoperto chi sono gli affiliati alla rete di LockBit (gli hacker che pagano per usarne i servizi) e ha trovato il codice sorgente dei loro ransomware.

Non succede spesso che la polizia riesca ad arrestare i cybercriminali, per cui questa notizia, ha implicazioni positive a vari livelli, come vedremo a breve.

Fonte: National Crime Agency (NCA), www.nationalcrimeagency.com

L’operazione Cronos ha un forte impatto a livello sociale, perché fa sentire più protette le persone e meno sicuri i cybercriminali.


Cos’è il ransomware

Prima di vedere le conseguenze dell’operazione Cronos, facciamo una breve pausa per ricordare cos’è il ransomware.

Nella grande famiglia del malware, i ransomware sono dei programmi che si installano nei sistemi informatici delle vittime e criptano i file a cui riescono ad accedere, allo scopo di chiedere un riscatto in cambio della chiave di crittografia necessaria per decriptare i file.

Aggirare questo problema non è difficile con una buona strategia di backup e con la segmentazione delle reti, ma i gruppi ransomware come LockBit fanno leva anche su altre cose: la minaccia di divulgare i dati rubati (con il conseguente impatto negativo sulla reputazione dell’azienda) e l’interruzione delle operazioni, che nel caso di enti pubblici o aziende manifatturiere possono avere conseguenze molto pesanti sulla vita delle persone.

LockBit, come abbiamo accennato, ha sviluppato alcuni ransomware molto efficaci e, oltre ai propri cyberattacchi, ha iniziato a vendere l’accesso ai propri malware e modelli di attacco, come se si trattasse di un’azienda di SaaS.

In questo modo, gli hacker alle prime armi hanno accesso a strumenti e strategie che fino a qualche anno fa erano appannaggio di hacker molto competenti e dotati di strumenti potenti.

LEGGI ANCHE: Chi sono gli hacker white hat

Conseguenze dell’arresto di LockBit

Non si legge spesso che la polizia riesca ad arrestare un cybercriminale, perché una delle loro caratteristiche è proprio saper nascondere le proprie tracce. Per questo, lo smantellamento di LockBit ha conseguenze molto positive sulla cybersecurity:

Insomma, questa operazione avrà un forte impatto sia sullo sviluppo tecnologico sia sulla società, facendo sentire più protette le persone e meno sicuri i criminali.


Previeni il ransomware con i backup periodici e, in caso di attacco, non pagare il riscatto.


Domande frequenti sul ransomware

All’inizio del post, abbiamo spiegato brevemente cos’è il ransomware. Ora, vogliamo rispondere ai dubbi più frequenti che le persone hanno riguardo a questa minaccia informatica.

Cosa succede a un PC colpito da ransomware

Il virus accede ai file del sistema e lentamente inizia ad applicare un codice (un algoritmo di crittografia) che trasforma i file in lunghe serie di dati illeggibili. Il risultato è che la vittima non può più accedere ai propri dati ed è costretta a pagare il riscatto chiesto dai cybercriminali per recuperarli.

Un secondo problema è che molti ransomware non eseguono bene la decriptazione. Inoltre, dopo aver ricevuto il riscatto, alcuni hacker non consegnano la chiave di crittografia alla vittima, per cui non è garantito che pagandolo possa ripristinare i propri dati.

L’unico metodo sicuro è la prevenzione tramite strategie di backup e strumenti antiransomware.

Come si diffonde il ransomware

Molte persone pensano che i virus si trovino solo su siti pericolosi, ma non è così. Per “prendere un ransomware” basta fare clic su un allegato infetto di un’email di phishing o scaricare contenuti da reti illegali.

Perché il ransomware è efficace

Molte aziende non possono rimanere inattive neanche un giorno, perché da loro dipende la sicurezza o il lavoro di migliaia di persone. Pensate, ad esempio, a un ospedale o un ente pubblico come l’Ufficio delle Entrate.

Per questo motivo, le aziende preferiscono pagare il riscatto e tornare alla loro normale produttività, evitando pesanti ricadute sulla propria reputazione.

Come posso proteggermi dal ransomware

Ecco quattro consigli pratici per proteggerti dai ransomware:

  1. Impostare la creazione di copie di backup periodiche (una volta a settimana è sufficiente per la maggior parte dei singoli utenti), meglio se su piattaforme diverse, ad esempio una sul cloud e una su un hard disk esterno.
  2. Attivare la protezione antiransomware di Windows, che controlla l’accesso a cartelle e file da soggetti esterni.
  3. Utilizzare software di cybersecurity avanzati, dotati di protezione antiransomware basata sull’intelligenza artificiale.
  4. Non fare clic su link o allegati sospetti, non visitare siti pericolosi e non scaricare da internet.

Seguendo queste semplici linee guida, ridurrai moltissima le probabilità di subire un attacco ransomware.

Cosa fare se il mio sistema è infetto da ransomware

Non pagare il riscatto, perché non hai nessuna garanzia di recuperare i file. Se hai una copia di backup o un punto di ripristino del sistema, usalo. In caso contrario, scollega il dispositivo dalla rete e spegnilo per bloccare la diffusione dell’infezione. Dopodiché, contatta un tecnico informatico specializzato in ransomware o nel recupero di dati.

Dovrei pagare il riscatto?

La polizia lo sconsiglia, perché le probabilità di ricevere la chiave di crittografia per decriptare i file sono davvero poche e, anche nel caso in cui la ricevessi, il processo di decriptazione non è mai preciso e potresti comunque perdere molti dati.

Riassumendo, i servizi di intelligence di 10 paesi hanno collaborato e sono riusciti a bloccare il gruppo hacker LockBit, arrestando alcuni membri e sequestrando codice e sistemi informatici. Grazie a questi successi della polizia informatica, i cittadini si sentono più protetti e gli hacker meno propensi a commettere cybercrimini.

Segui i consigli di sicurezza che abbiamo condiviso qui sopra per prevenire infezioni di ransomware e leggi le ultime notizie sul nostro blog per scoprire le ultime minacce informatiche.

CONTINUA A LEGGERE: Sondaggio cybersecurity, italiani primi in Europa per controllo dei figli online

Buona navigazione e buona protezione dal ransomware!

Exit mobile version