Il ransomware LockBit è tornato a far parlare di sé con una nuova versione ancora più sofisticata, dimostrando che le operazioni di contrasto internazionali, pur efficaci nel breve termine, non sono sufficienti a fermare le organizzazioni cybercriminali più strutturate.
Indice degli argomenti
La falsa eliminazione di LockBit
All’inizio del 2025 LockBit, uno dei gruppi ransomware più prolifici dell’ultimo decennio, era stato dato per spacciato a seguito di una maxi operazione internazionale di polizia che ha portato allo smantellato di infrastrutture, il sequestro di server e l’arresto di alcuni componenti del gruppo.
Le prime notizie davano per scontato che una delle gang più note del crimine digitale fosse stata eliminata, ma si trattava, ovviamente, di un’illusione. Solo pochi mesi dopo, giusto il tempo di riorganizzarsi, una nuova istanza chiamata LockBit 5.0 è ricomparsa nel Dark Web, rivendicando la continuità con il gruppo originario e dichiarandosi non solo sopravvissuti, ma evoluti.
Secondo i suoi rappresentanti, intervistati in esclusiva e in via totalmente anonima da Hackmanac, il gruppo si è ristrutturato, facendo tesoro delle lezioni apprese a seguito del parziale takedown, ricominciando ad operare con un modello cybercriminale ancora più raffinato.
L’intervista, unica nel suo genere, rivela un quadro inquietante: le gang ransomware di questa portata non sono più gruppi di hacker improvvisati, ma vanno considerate “organizzazioni aziendali“, con ruoli, regole, affiliazioni, “etica interna” e una resilienza operativa che ricorda in modo preoccupante quella delle grandi aziende.
Un modello di business cybercriminale
Il gruppo si definisce un servizio di “penetration testing (non richiesto!) a pagamento”, a dimostrazione di quanto profondamente abbiano interiorizzato la retorica aziendale per giustificare la loro attività cybercriminale. Anzi, sembra quasi che considerino il loro operato come un vantaggio per le vittime, poiché mette in luce le vulnerabilità e le debolezze dei sistemi IT che le organizzazioni non erano ancora consapevoli di avere.
A differenza delle operazioni APT sponsorizzate da stati, con cui LockBit nega ogni coinvolgimento diretto, il gruppo si descrive come un’impresa «puramente orientata al profitto» con un modello Ransomware-as-a-Service. Il gruppo fornisce, infatti, tecnologia, strumenti, infrastrutture e un brand riconosciuto agli affiliati, che, a loro volta, individuano le vittime e sfruttano le vulnerabilità a loro discrezione ed in totale autonomia.
Fee d’ingresso e affiliazioni autonome
Sul piano operativo l’evoluzione più significativa riguarda la struttura economica e organizzativa. Il gruppo opera come una sorta di piattaforma: chi vuole diventare affiliato paga una fee d’ingresso relativamente bassa (500 dollari) ottenendo accesso agli strumenti necessari per condurre gli attacchi.
Non esistono legami personali con gli affiliati, meeting o canali centralizzati che possano tradire o mettere in pericolo l’organizzazione. Al contrario, il modello funziona in modo totalmente transazionale: si paga per accedere, si ricevono software e strumenti di un “brand di successo” (così si definiscono) e si opera in autonomia, versando una percentuale sui profitti.
Sub-contractor con regole d’ingaggio
Gli affiliati agiscono di fatto come sub-contractor, ma con una differenza sostanziale: possono essere bannati se violano le regole di ingaggio.
Il codice etico della gang
Una delle rivelazioni più sorprendenti emersa nel corso dell’intervista riguarda le regole interne che il gruppo sostiene di seguire. È vietato, infatti, prendere di mira una serie di target: tra questi ospedali, organizzazioni non-profit e strutture che forniscono servizi pubblici essenziali. Non solo il gruppo si rifiuta di colpire questa tipologia di vittime, ma un affiliato che non rispetta le regole, viene bannato immediatamente, mentre alla vittima viene fornita la chiave di cifratura gratuitamente.
Strategia o morale nella governance cybercriminale
Per quanto questo codice etico potrebbe essere motivato maggiormente da ragioni strategiche e da rischi reputazionali che da reali scrupoli morali, la presenza di policy, governance e sistemi di sanzione rafforza il parallelo con la struttura aziendale.
Tecnologia ottimizzata nella versione 5.0
La versione 5.0 di LockBit segna un netto passo avanti anche in termini di sofisticazione e di efficienza operativa. Il motore di cifratura del ransomware è stato ottimizzato per aumentarne la velocità, in modo da ridurre al minimo la finestra di reazione delle vittime. Inoltre, per ogni infezione viene generata un’estensione univoca e casuale di 16 caratteri che complica la rilevazione del malware.
Il ciclo infinito di attacco e difesa
Secondo il portavoce di LockBit, il ransomware è e resterà un modello redditizio. Nessun sistema IT è completamente sicuro il che rende sia l’attacco che la difesa nella cybersecurity un ciclo infinito: gli attaccanti scoprono un bug, lo sfruttano per perpetrare l’attacco, la vulnerabilità viene risolta… e si ricomincia.
Decentralizzazione come forza strategica
Non esistendo un unico point of failure, ma una concatenazione di server, software e supply chain, il modello è ancora più difficile da neutralizzare. Inoltre, i meccanismi di infezione dei sistemi, sottrazione dei dati, incasso dei guadagni e pubblicazione delle informazioni sottratte sono progettati per essere replicabili, sostituibili e rapidamente riattivabili dopo un eventuale sequestro.
Resilienza operativa post-takedown
A proposito dell’ultima operazione di contrasto, l’impressione della gang è che i takedown possono causare interruzioni temporanee, ma non rappresentano certamente una minaccia esistenziale. Anche per LockBit, così come per i difensori e le vittime dei cyber attacchi, l’anello debole è da sempre il fattore umano: non può essere “riparato”, ma solo compensato con processi e strumenti pensati per essere modulari e distribuiti. La forza principale del gruppo, come sottolineano, è la decentralizzazione, che rende il modello intrinsecamente resiliente.
Un settore criminale industrializzato
LockBit 5.0 non è solo l’ennesima reincarnazione di un gruppo ransomware, ma la dimostrazione che le estorsioni digitali rappresentano oggi un settore altamente industrializzato, con un modello di business scalabile e resiliente, supply chain specializzate e strategie organizzative che imitano quelle delle aziende legittime. L’intervista rivela un ecosistema criminale maturo, competitivo e profondamente radicato, che conferma quanto sia economicamente conveniente per questi gruppi continuare a rigenerarsi. Allo stesso tempo, è evidente che la lotta al ransomware deve evolversi da semplice ambito tecnico a una sfida economica, sociale e sistemica che richiede nuove strategie, investimenti mirati e maggiore cooperazione tra i difensori.
