“xoxo from Prague” colpisce anche LockBit Team

05 Giugno 2025

A distanza di un mese dalla violazione che ha messo in difficoltà le operazioni del gruppo ransomware Everest Team, è stato colpito in modo analogo anche LockBit Team.

La notizia del defacement al sito dei leak e del dump di informazioni interne è stata diffusa sulla piattaforma X dall’utente ReyXBF , il quale ha iniziato anche ad analizzare il materiale reso pubblico.

Secondo quanto affermato da alcuni ricercatori, il file SQL sottratto proviene dal database MySQL del pannello di affiliazione del portale e contiene una ventina di tabelle. Al loro interno vi sarebbero

quasi 60 mila wallet Bitcoin
l’elenco di oltre 70 fra amministratori ed affiliati con accesso al pannello e relative password in chiaro
build della minaccia create dagli affiliati che in alcuni casi riportano i nomi delle realtà prese di mira
Configurazioni
chiavi pubbliche
oltre 4.400 chat di negoziazione avviate con le vittime fra il 19 dicembre 2024 e il 29 aprile 2025.

Oltre 20 utenti del pannello avrebbero un ID del servizio di messaggistica TOX. In ameno tre casi, l’ID è stato associato a profili presenti su forum di hacker che potrebbero rivelare informazioni utili agli investigatori.

Gli analisti hanno delineato con precisione i profili di cinque affiliati:

Christopher: è il più attivo, con oltre 2.00 messaggi, e utilizza stile e linguaggio professionali. Si dimostra il più efficiente nell’ottenere i pagamenti (oltre $196.000) senza ricorrere a comportamenti aggressivi.
Lofikdis: utilizza un tono diretto e asciutto e dimostra scarsa abilità nel gestire lo stress.
Swan: mira ad ottenere riscatti elevati esercitando una chiara pressione psicologica sulle vittime. Si stima che abbia raccolto circa 1,6 milioni di dollari.
PiotrBond: adotta tecniche psicologiche che bilanciano minacce e assistenza tecnica. L’ipotesi è che miri a mantenere una reputazione di “affidabilità”
JamesCraig: intrattiene con le vittime scambi standardizzati e meccanici la cui finalità è ottenere il pagamento del riscatto più alto possibile.

Nel complesso, dalle chat sarebbe emerso uno spiccato interesse alla monetizzazione rapida, che avrebbe portato gli attaccanti ad accontentarsi anche di riscatti modesti nel caso di compromissioni a piccole imprese. Il riscatto più alto ammonterebbe a circa $100.000.

Sulle modalità della compromissione resta il più assoluto mistero. Sussistono ipotesi non circostanziate che immaginano lo sfruttamento di una 0-day di PHP, presumibilmente in analogia con le tecniche sfruttate dall’FBI nel corso di Operation Cronos.

In ogni caso, l’attacco sarebbe stato confermato da LockBitSupp, ideatore e amministratore principale della crew, che le Autorità statunitensi hanno individuato nel cittadino russo Khoroshev. In una comunicazione rilasciata sul sito preso di mira, il criminale avrebbe però specificato che non sono state compromesse le chiavi private e nemmeno le informazioni sensibili delle vittime.

LockBitSupp avrebbe anche dichiarato di essere disposto a pagare per ottenere informazioni sull’autore dell’attacco. Per il momento, l’unico elemento certo è la firma del defacement, identica a quella lasciata ad aprile sul sito di Everest Team: “Don’t do crime CRIME IS BAD xoxo from Prague”. L’ipotesi exit scam avanzata in quel caso perde ora validità e si aprono nuovi scenari, tutti da scandagliare.

Nel frattempo, LockBit Team avrebbe ripreso ad operare, rivendicando attacchi contro realtà del consulting e del settore assicurativo negli USA e in Asia meridionale.

Focus On è una serie di approfondimenti su temi e dati analizzati dal team di esperti del Cyber Intelligence Operations Center di TS-Way.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sui nostri servizi di Threat Intelligence

Everest Team LockBit Team Operation Cronos

Contenuti correlati

Truffe e rivendicazioni cybercrime in Italia, le ultime dal conflitto russo-ucraino, nuove operazioni APT dalla Cina

Everest Team subisce un defacement e chiude il portale dei leak

L’Italia nel mirino di hacktivisti e ransomware, 0-day in Chrome, operazioni APT in Asia