Il panorama cybercriminale ha assistito a uno dei momenti più paradossali della sua storia; LockBit, uno dei gruppi ransomware più attivi degli ultimi anni, è stato a sua volta vittima di un attacco informatico. La sua infrastruttura nel dark web (un indirizzo Onion accessibile da Tor) è stata violata, e un messaggio sarcastico, firmato da ignoti hacker da Praga (gruppo xoxo), ha dato il via a una fuga di dati che rischia di riscrivere gli equilibri tra le gang digitali.
Tra i file trafugati, spiccano circa 60.000 indirizzi Bitcoin, messaggi di negoziazione con le vittime e credenziali in chiaro di 75 affiliati. Tutto lasciato online, consultabile da chiunque abbia accesso al link Onion diffuso pubblicamente. Una breccia che mette a nudo non solo l’organizzazione, ma anche i suoi meccanismi interni più sensibili.
Gli hacker di Praga hanno violato i pannelli di amministrazione nel dark web utilizzati da LockBit; li hanno sostituiti con un messaggio che recita: “Don’t do crime. CRIME IS BAD. xoxo from Prague“, accompagnato da un link a un dump del database MySQL contenente le informazioni sensibili.
Il sito defaced in questione è la piattaforma nel dark web utilizzata da LockBit per gestire le comunicazioni con i suoi affiliati e pubblicare i dati delle vittime. Dopo l’attacco, tutti i pannelli di amministrazione sono stati modificati per mostrare il messaggio sopra citato.
Una miniera per le forze dell’ordine
Il contenuto della fuga ha un potenziale enorme per analisti forensi e forze dell’ordine. La presenza di 59.975 indirizzi Bitcoin permette tracciamenti mirati delle transazioni; seguendo le catene di pagamento, si potrebbero identificare nodi chiave nell’infrastruttura economica di LockBit.
Non meno rilevanti sono i 4442 messaggi negoziali intercorsi tra i responsabili e le vittime, che coprono un arco temporale da dicembre ad aprile. Ogni dialogo racchiude informazioni che possono rivelare identità, modalità operative e debolezze della struttura. Si tratta di una base dati che, per la polizia internazionale, equivale a trovare le chiavi della cassaforte di un nemico invisibile.
Nel 2023-2024, le forze dell’ordine internazionali (incluso l’FBI e Europol) hanno condotto operazioni per contrastare LockBit, con sequestri di infrastrutture e arresti. Tuttavia, il gruppo continua ad adattarsi e riemergere sotto nuove varianti.
La debolezza umana dietro la tecnologia
Sembra incredibile, ma nella tabella utenti del database compromesso si trovano credenziali in chiaro e non criptate come “Weekendlover69” o “Lockbitproud231”. Una superficialità che tradisce una certa fiducia eccessiva nei propri strumenti e che, in un settore come quello cybercriminale, risulta un punto debole clamoroso. L’affidamento cieco alla tecnologia senza una parallela attenzione alla sicurezza umana crea crepe. Ed è proprio da queste che, spesso, partono le infiltrazioni più efficaci.
Inoltre, il dump SQL di phpMyAdmin ha mostrato che il server eseguiva PHP 8.1.2, che è soggetto a una vulnerabilità critica e attivamente sfruttata; identificata come CVE-2024-4577. Una vulnerabilità che può essere utilizzata per ottenere l’esecuzione di codice remoto sui server.
La reazione di LockBit non si è fatta attendere; messaggi pubblici per rassicurare sulla non compromissione dei tool di decriptazione e la promessa di una ricompensa per chi fornirà informazioni sugli aggressori.
Tuttavia, nel mondo del ransomware, la fiducia è moneta corrente; una falla così estesa mina il rapporto tra affiliati e coordinatori. Dopo il colpo inferto con l’Operazione Cronos del 2024, che già aveva messo fuori uso parte della loro infrastruttura, questa nuova esposizione potrebbe accelerare il declino del gruppo. Senza l’appoggio degli affiliati, anche la miglior rete crolla.
Punti in comune con altri attacchi
Il messaggio lasciato dagli hacker “CRIME IS BAD xoxo from Prague” è identico a quello comparso in una defacement contro Everest; altra gang ransomware recentemente colpita. Questo fa sospettare una matrice comune, forse legata alla citata vulnerabilità CVE-2024-4577 di PHP 8.1.2.
Un punto d’ingresso condiviso che apre scenari di attacchi mirati e ripetuti contro le infrastrutture digitali criminali. Se confermato, potrebbe indicare l’esistenza di una nuova entità specializzata in azioni contro i gruppi di ransomware; una sorta di giustizia parallela informatica.
Conclusione: attacco a LockBit
LockBit è un gruppo di ransomware-as-a-service (RaaS) tra i più attivi e pericolosi degli ultimi anni. È emerso nel 2019 e da allora ha evoluto le sue tecniche e strumenti; ha colpito aziende e istituzioni in tutto il mondo. Non è la prima volta che LockBit subisce un duro colpo, ma la portata di questo episodio sembra diversa. I dati svelati non riguardano solo transazioni; mostrano il funzionamento quotidiano di una macchina criminale.
La rete che da anni colpisce ospedali, aziende e infrastrutture si ritrova ora nuda davanti al mondo. Il tempo dirà se questa breccia segnerà la fine di LockBit o se, come già avvenuto in passato, il gruppo saprà rigenerarsi. Nel frattempo, gli investigatori hanno tra le mani la trasparenza di un sistema fondato sull’oscurità.
