Spesso parliamo dell’operazione di ransomware as a service (RaaS) LockBit, da poco rinnovata in LockBit 3.0, la quale continua a portare innovazioni importanti nel cyber circus del ransomware. Spesso tali innovazioni sono così dirompenti che vengono adottate da altre cybergang perché funzionano, e introducono delle novità o altre forme per ottenere il pagamento dei riscatti.
Come sappiamo le cyber gang si è evoluta recentemente nella versione 3.0, dove in precedenza abbiamo analizzato le novità rispetto al passato. Le cybergang, come una normale organizzazione, evolve il proprio “modello di business” innovando in modo continuativo trovando nuovi modi per eludere le difese di sicurezza delle aziende, per aggiornare le proprie infrastrutture e le tecniche, tattiche e procedure (TTPs).
Questo è necessario sia per poter rispondere ai propri affiliati, ma anche per essere sempre più pervasivi oltre che a trovare modi non convenzionali per monetizzare quanto più possibile.
Ma come spesso abbiamo detto, per poter estorcere soldi ad una multinazionale, non puoi fare tutto da solo: hai bisogno di un gruppo.
Un gruppo di criminali informatici militarmente organizzati, fedeli e coesi che lavorano insieme, con specializzazioni diverse per un unico scopo: estorcere quanto più denaro possibile dalle organizzazioni.
Abbiamo contattato LockBit 3.0 chiedendo una intervista per conoscere meglio l’evoluzione del progetto 3.0, ma anche per parlare di geopolitica, di affiliazioni, di monetizzazione, di percentuali di riscatto, di evoluzione del ransomware e dei modelli RaaS ma anche dell’Italia e degli attacchi da loro effettuati in precedenza.
RHC: Salve LockBit, puoi dirci qualcosa di più sul progetto 3.0? LockBit: Molti aggiornamenti, in generale l’infrastruttura è stata ampliata e la larghezza di banda è stata aumentata, ora possiamo lavorare con un numero illimitato di partner. Inoltre, i codici sorgenti del kit su Windows DarkSide/BlackMatter sono stati acquistati e notevolmente migliorati. Sono state aggiunte funzionalità da lockbit 2.0 come l’auto-diffusione ed eliminati molti bug.
RHC: Potresti dirci qualcosa di più sull’iniziativa di bug hunting? È la conseguenza di un’intrusione informatica che avete subito? LockBit: Nessun hacking, c’erano dei piccoli difetti che ci hanno spinto a creare un programma di bug bounty, dove al momento abbiamo già pagato 50.000 dollari a chi ci ha informato del bug.
RHC: La squadra di Conti sembra essere fuori gioco. state reclutando ex membri/affiliati di questa cybergang? LockBit: Non sappiamo chi reclutiamo, le persone vengono da noi e dicono che vogliono lavorare, non chiediamo loro da dove vengono. Non ci sono restrizioni.
RHC: Cosa vi rende un’operazione ransomware as a service (RaaS) che è sul mercato da 2 anni? Cosa c’è di speciale in voi rispetto agli altri? LockBit: debolezza e coraggio. Abbiamo una malattia mentale. Non è affatto paura, non è paura di essere catturati o uccisi. E ovviamente il satellite modificato di Elon Musk, Dio benedica l’America!
RHC: Potete dirci quante persone ruotano attorno alla vostra operazione RaaS? Considerando sviluppatori, affiliati, supporto, ecc … LockBit: più di 100 persone
RHC: Le vittime che pubblicate sul vostro data leak site (DLS) sono quelle che non pagano il riscatto. Molti ricercatori hanno fatto previsioni su quante aziende vi consentono di monetizzare. Qual è esattamente la percentuale delle aziende che paga i riscatti? LockBit: Dal 10 al 50% paga il riscatto. Dipende da quanto bene l’azienda viene attaccata e se ha segreti e backup.
RHC: Le vicende interne cambieranno con la versione 3 o rimarranno le stesse del passato per il vostro team? LockBit: Ci sono molti cambiamenti.
RHC: A livello internazionale, a differenza di Conti, non vi siete schierati mentre riferite sempre di non essere legati alla politica. Quanto gratifica questa scelta nel panorama geopolitico? LockBit: Questa è la nostra personale visione del mondo, siamo contrari alla guerra e allo spargimento di sangue, siamo normali pentester e rendiamo questo mondo più sicuro, grazie a noi le aziende possono imparare una lezione sulla sicurezza e chiudere le vulnerabilità. Conti e il loro rebranding BlackBasta sono hacker politici, lavorano per distruggere le infrastrutture solo per fare il massimo danno all’azienda. E noi, a nostra volta, avvantaggiamo tutte le aziende del mondo e le rendiamo sempre più sicure.
RHC: Abbiamo assistito a molti tempi di inattività per il passaggio al “Progetto 3”. Sono stati legati a problemi tecnici? LockBit: Il tempo di inattività è dovuto al trasferimento di infrastrutture e partner, al debug di nuovi meccanismi e, soprattutto, al culmine dell’estate, molte persone si riposano e sono in vacanza.
RHC: Recentemente il gruppo KillNet ha chiesto l’aiuto di diversi gruppi ransomware per le loro operazioni. Cosa ne pensate di loro ? LockBit: Non ne so nulla, ma penso che sia solo una contro azione nella guerra informatica, la Russia viene attaccata da hacker provenienti dagli Stati Uniti, Europa e Ucraina. La Russia risponde semplicemente creando le proprie unità informatiche, il corso naturale degli eventi. La forza d’azione è uguale alla forza di contrasto. La cosa principale è non iniziare una guerra nucleare, la guerra informatica non è offensiva e non è pericolosa come la guerra nucleare.
RHC: quali sono le differenze principali tra LockBit 2.0 e LockBit 3.0? da dove viene la necessità di aggiornare? LockBit: i partner chiedono costantemente nuove funzionalità, rispettiamo i loro desideri. Il progetto 3.0 è realizzato sulla base del codice sorgente DarkSide/BlackMatter che abbiamo acquistato, eliminando molti bug e aggiungendo nuove funzionalità, oltre a funzionalità aggiunte da Lockbit 2.0 come l’auto-propagazione. E, soprattutto, un nuovo locker Linux con supporto per 14 architetture Linux.
RHC: Alcuni giorni fa una banda di ransomware ha compromesso un’organizzazione operante nel settore sanitario in Italia. Cosa ne pensi di attaccare l’assistenza sanitaria? LockBit: La nostra opinione sull’attacco all’organizzazione sanitaria e scritta sul blog. Non possiamo trascurare la sicurezza dei dati che costituiscono il segreto medico, dobbiamo fare molta attenzione ed essere selettivi con il pentest post-pagato delle istituzioni mediche, così che pensino a proteggere le informazioni e non ad affidarsi alla misericordia di gruppi governativi che non faranno che rubare per distruggere le loro infrastrutture senza poter pagare per il riscatto.
RHC: Ora LockBit è un’operazione d’élite. Grandi numeri e grandi guadagni. Qual è l’ingrediente che ti ha fatto rimanere a lungo sul mercato, attirando molti affiliati? LockBit: Onestà. Siamo l’unico programma di affiliazione al mondo che non tocca il riscatto dei partner, tutti gli altri programmi di affiliazione prendono i pagamenti dal tuo portafoglio e poi trasferiscono la quota ai partner. Quando l’importo diventa alto è si inizia a parlare di rebranding (è successo con il programma di affiliazione Alpha), hanno truffato il partner che aveva riscosso un grande pagamento chiudendo il programma DarkSide, in attesa di nuovi sciocchi e un nuovo grande pagamento per il prossimo rebranding.
RHC: Diversi giorni fa i media hanno riferito che REvil ha affermato che il governo russo potrebbe usare le cyber gang come arma contro l’Ucraina. Cosa ne pensate? LockBit: Penso che sia abbastanza realistico, perché no? Cosa sceglieresti, dar via il culo o un lavoro al computer?
RHC: Qualche mese fa avete attaccato l’infrastruttura informatica dell’ULSS6 Euganea, un ospedale italiano. Come avete trovato l’infrastruttura dell’organizzazione assegnando un voto da 1 a 5? LockBit: 1
RHC: come consideri in generale il livello di sicurezza delle organizzazioni italiane? LockBit: 1
Di seguito riportiamo l’intervista in inglese originale scambiata con LockBit 3.0, tramite TOX messenger