LockBit e Operazione Cronos: arrestati due affiliati e pubblicato lo strumento decryptor

LockBit e Operazione Cronos: arrestati due affiliati e pubblicato lo strumento decryptor

La cooperazione delle forze di polizia internazionali ha portato all'arresto di due affiliati del servizio di Ransomware as a Service, sequestrando inoltre più di 200 wallet di criptovalute

di pubblicata il , alle 13:42 nel canale Sicurezza
 

Una massiccia operazione coordinata tra autorità di diversi Paesi ha portato all'arresto di due affiliati al gruppo ransomware LockBit in Polonia e Ucraina. Le forze dell'ordine hanno inoltre realizzato uno strumento di decrittazione per recuperare gratuitamente i file crittografati dal malware e hanno sequestrato oltre 200 portafogli di criptovalute contenenti fondi illeciti, dopo aver violato i server utilizzati dalla gruppo criminale.

L'Operazione Cronos, di cui già abbiamo parlato in precedenza, è stata guidata dalla National Crime Agency britannica e coordinata in Europa da Europol ed Eurojust. Le indagini hanno avuto inizio nel mese di aprile 2022 e hanno portato, dopo mesi, alla compromissione della piattaforma principale di LockBit e di altre infrastrutture chiave che consentivano le loro attività illecite.

In particolare, sono stati rimossi 34 server nei Paesi Bassi, Germania, Finlandia, Francia, Svizzera, Australia, Stati Uniti e Regno Unito. Questi server sono ora sotto il controllo delle autorità, così come oltre 14.000 account che venivano utilizzati dal gruppo per esfiltrare dati o gestire l’infrastruttura di attacco.

Non sono ancora noti i dettagli sui fondi in criptovalute sequestrati nei 200 portafogli digitali degli hacker. Tuttavia, grazie a questa operazione, le vittime che in passato hanno ceduto al ricatto pagando il riscatto ai criminali, potrebbero ora avere la possibilità di recuperare parte del maltolto. Operazioni simili erano già state condotte in passato dall'FBI, come nel caso dell'attacco a  Colonial Pipeline e di varie organizzazioni sanitarie vittime di attacchi ransomware.

Analizzando il materiale sequestrato, gli investigatori hanno recuperato più di 1000 chiavi di decrittazione che hanno permesso di sviluppare uno strumento gratuito disponibile tramite il portale “No More Ransom”, per aiutare le vittime di LockBit 3.0 a ripristinare i file criptati.

Oltre ai due arresti, le autorità francesi e statunitensi hanno emesso tre mandati di arresto internazionali e cinque atti d'accusa contro altri membri di LockBit, proseguendo così la caccia ai vertici del gruppo criminale.

Due delle accuse sono state aperte dal Dipartimento di Giustizia degli Stati Uniti contro due cittadini russi, Artur Sungatov e Ivan Gennadievich Kondratiev, per il loro coinvolgimento negli attacchi LockBit. Precedenti accuse risalgono a novembre 2022 contro Mikhail Vasiliev, giugno 2023 contro Ruslan Magomedovich Astamirov e maggio 2023 contro Mikhail Pavlovich Matveev.

La NCA ha preso il controllo dei server usati da LockBit per archiviare i dati rubati e dei siti del gruppo nel dark web, che sono stati rimossi. Anche il pannello di controllo degli affiliati è stato sequestrato, avvisando i criminali che le loro informazioni sono ora in mano alle autorità. I dati raccolti nel corso dell'operazione Cronos saranno utili per identificare sviluppatori, leader e affiliati di LockBit.

4 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
io78bis20 Febbraio 2024, 14:38 #1
Tuttavia, grazie a questa operazione, le vittime che in passato hanno ceduto al ricatto pagando il riscatto ai criminali, potrebbero ora avere la possibilità di recuperare parte del maltolto.

Questo non riesco mai a capire come sia possibile. I wallet di cripto mica non possono essere movimentati se non si possiede la chiave criptata associata? Come fanno i truffati a rientrare in possesso dei soldi spesi?
Wrib20 Febbraio 2024, 14:51 #2
Originariamente inviato da: io78bis
Questo non riesco mai a capire come sia possibile. I wallet di cripto mica non possono essere movimentati se non si possiede la chiave criptata associata? Come fanno i truffati a rientrare in possesso dei soldi spesi?



Dagli articoli di cronaca letti negli anni in effetti emerge sovente questo scenario, a naso direi che quando le forze dell'ordine hackerano i server dei criminali trovino degli "hot wallet" con la chiave sul server stesso (indirizzi gestiti in automatico dal server che controlla gli arrivi dei pagamenti di riscatti e sempre automaticamente fornisca agli estorti le chiavi per decriptare i file lockati). La stessa cosa si legge quando smantellano server di vendita di sostanze stupefacenti, anche lì ci sarà un hot wallet sulla macchina.

Mi associo al tuo dubbio: non capisco perchè i criminali non abbiano una routine che invia il prima possibile i bitcoin dall'hot wallet ad un "cold wallet" offline di cui conoscono solo loro la chiave estraneo al server di servizio.

Oppure la routine c'è e quello sequestrato è solo una piccola percentuale del maltolto usata come "liquidità di servizio" negli hot wallet.
io78bis20 Febbraio 2024, 15:09 #3
Originariamente inviato da: Wrib
...

Mi associo al tuo dubbio: non capisco perchè i criminali non abbiano una routine che invia il prima possibile i bitcoin dall'hot wallet ad un "cold wallet" offline di cui conoscono solo loro la chiave estraneo al server di servizio.

Oppure la routine c'è e quello sequestrato è solo una piccola percentuale del maltolto usata come "liquidità di servizio" negli hot wallet.


Cold wallet? Hot wallet??


Non riuscirò mai a capire quell'universo
phmk20 Febbraio 2024, 19:00 #4

Bravi...

Adesso basterebbe applicare una buona "punizione corporale" modello "Inquisizione Spagnola" (o Kim) così passerebbe la voglia ai molti "emuli"...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^