Operation Cronos colpisce duramente LockBit Team, senza riuscire a fermarlo

Il 20 febbraio, Europol, la National Crime Agency (NCA) del Regno Unito e il Dipartimento di Giustizia degli Stati Uniti hanno rilasciato comunicazioni ufficiali su Operation Cronos, un’operazione di polizia internazionale condotta contro il gruppo ransomware LockBit Team.

Ad Operation Cronos hanno preso parte le Forze dell’Ordine di Francia, Germania, Paesi Bassi, Svezia, Australia, Canada, Giappone, Regno Unito, Stati Uniti e Svizzera. Sostegno alle indagini è stato garantito anche da Finlandia, Polonia, Nuova Zelanda e Ucraina. L’NCA ha preso il controllo dell’ambiente di amministrazione principale di LockBit, che consentiva agli affiliati di progettare e portare a termine gli attacchi, e del sito dei leak. Inoltre, sono state compromesse ulteriori infrastrutture critiche, fra cui server localizzati in Europa, Svizzera, Australia, Stati Uniti e Regno Unito, e più di 14.000 account, sfruttati anche per le attività di esfiltrazione. L’Agenzia britannica ha ottenuto il codice sorgente della piattaforma e una vasta quantità di informazioni sulle attività del team, sui collaboratori e sugli affiliati alla crew. La polizia giapponese, l’NCA e l’FBI, con il supporto di Europol, hanno sviluppato e messo a disposizione gratuitamente sul portale No More Ransom strumenti per la decryption.

Nel complesso, è stato disposto l’arresto di due individui, residenti in Polonia e Ucraina, e il congelamento di 200 account di criptovaluta. Oltre a ciò, sono stati emessi tre mandati di arresto internazionali e cinque rinvii a giudizio. In particolare, il Dipartimento di Giustizia USA ha reso pubblico un atto d’accusa contro i cittadini russi Artur Sungatov e Ivan Kondratyev (alias Bassterlord).

Il successo completo dell’operazione è stato subito messo in dubbio. Un portavoce di LockBit Team che si firma LockBitSupp ha pubblicato sulla piattaforma Tox un post in russo nel quale spiega che l’FBI avrebbe violato i server principali utilizzando un exploit PHP. Tuttavia, i server di backup, che non sarebbero basati su PHP, sarebbero rimasti intatti.

Nelle ore successive all’annuncio di Operation Cronos, LockBit Team ha informato dell’accaduto tutti gli affiliati con una comunicazione la cui formula ricalca, ironicamente, quella delle vittime di attacchi ransomware. Il gruppo notifica di aver rilevato un accesso non autorizzato ai propri sistemi da parte della NCA. A seguito di tale scoperta, garantisce di aver avviato un’indagine con l’assistenza di esperti di sicurezza informatica e preso provvedimenti per proteggere la propria rete. LockBit Team ipotizza che tale violazione potrebbe aver comportato l’accesso a informazioni personali, tra cui nomi, indirizzi e-mail e password criptate, ma aggiunge che non vi sarebbe alcuna prova che siano stati compromessi dati finanziari o numeri di previdenza sociale.

Pochi giorni dopo, LockBit ha rilasciato la propria versione dei fatti su un nuovo sito dei leak. L’avversario ha spiegato che le Autorità sono probabilmente riuscite a sfruttare la vulnerabilità critica CVE-2023-3824 di PHP, presente nei propri sistemi a causa di mancati aggiornamenti di sicurezza, e che l’exploit sarebbe stato eseguito sui server dei pannelli di amministrazione, delle chat con le vittime e del blog. Inoltre, ha specificato che le Forze dell’Ordine hanno ottenuto un database, sorgenti di web panel, frammenti di locker non sorgenti – a differenza di come riportato dalle Autorità – e una piccola parte di decryptor relativi a build del malware create senza la funzione di “maximum decryptor protection” abilitata, tipicamente utilizzata da affiliati di basso livello. Speculando sul movente di Operation Cronos, l’avversario ha ipotizzato che la causa scatenante sia stato un attacco ransomware alla contea di Fulton, avvenuto nel gennaio 2024, che ha comportato il rischio di far trapelare importanti informazioni sensibili.

Nelle scorse settimane LockBit Team ha continuato a rivendicare numerose compromissioni, perlopiù contro target negli USA, in Germania e Belgio, impattando soprattutto i settori dei servizi professionali, della manifattura e dell’assistenza sanitaria.

Focus On è una serie di approfondimenti su temi e dati analizzati dal team di esperti del Cyber Intelligence Operations Center di TS-Way. Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale. Le attività del Centro sono finalizzate a produrre informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici, che consentono alle organizzazioni di valutare gli scenari di rischio, e a fornire assistenza in caso di incidente informatico.