LockBit, quattro anni di reclusione per un affiliato russo-canadese

Mikhail Vasiliev, cittadino russo-canadese di 33 anni, è stato condannato a quattro anni di reclusione per il suo coinvolgimento in operazioni di compromissione dei sistemi di oltre 1.000 vittime con il famigerato ransomware LockBit e nella conseguente estorsione di ingenti somme di denaro. L'arresto di Vasiliev è avvenuto nel novembre 2022 e ha rappresentato un duro colpo per l'operazione criminale di LockBit, uno dei gruppi ransomware più attivi al mondo.

Le forze dell'ordine canadesi, prequisendo l'abitazione di Vasiliev a Bradford, in Ontario, nell'ottobre del 2022, lo hanno sorpreso mentre lavorava su un laptop che mostrava l'accesso al pannello di controllo di LockBit, utilizzato dai membri per lanciare gli attacchi. Durante la perquisizione era stata rinvenuta anche una credenziale seedphrase per un indirizzo di portafoglio bitcoin collegato a un portafoglio diverso che aveva ricevuto un pagamento da una vittima precedentemente infettata ed estorta da LockBit.

Gli investigatori avevano già effettuato in precedenza un'altra perquisizione trovando un file denominato "TARGETLIST" su uno dei dispositivi di Vasiliev, contenente un elenco di potenziali o precedenti vittime di crimini informatici prese di mira da LockBit. Ulteriori prove incriminanti includevano schermate di conversazioni con un utente chiamato "LockBitSupp", un soprannome utilizzato dai principali membri del gruppo, che discutevano di dati rubati archiviati sui server LockBit e di una vittima malese confermata. Gli agenti hanno inoltre rinvenuto un file di testo con istruzioni per l'implementazione di LockBit e fotografie dello schermo di un computer mostranti credenziali di accesso appartenenti ai dipendenti di una vittima precedentemente infettata nel gennaio 2022.

Vasiliev si è dichiarato colpevole di otto capi di imputazione. All'emissione della sentenza, avvenuta martedì 12 marzo, il giudice Michelle Fuerst ha definito Vasiliev un "cyber-terrorista" le cui azioni erano "pianificate, deliberate e freddamente calcolate". Il giudice ha inoltre affermato che le azioni dell'imputato erano "lontane dall'essere crimini senza vittime" e che era "motivato dalla sua stessa avidità". Il rappresentante legale di Vasiliev ha dichiarato: "Mikhail Vasiliev si è assunto la responsabilità delle sue azioni, e questo si è manifestato nell'aula di tribunale di oggi con la sentenza che è stata inflitta".

LockBit, attivo almeno dal 2019 e precedentemente noto come "ABCD", è diventato in breve tempo il ransomware più diffuso al mondo seguendo un modello d'uso (e di business) definito come "ransomware-as-a-service", in cui il gruppo mette a disposizione software e infrastruttura agli affiliati che eseguono gli attacchi veri e propri, per poi spartire i proventi derivanti dalle azioni criminali. Centinaia di affiliati hanno aderito all'operazione, che secondo l'FBI ha portato all'estorsione di oltre 120 milioni di dollari a migliaia di vittime in tutto il mondo.

Il mese scorso, l'FBI ha annunciato di aver inferto un duro colpo a LockBit tramite l'operazione Cronos, condotta in collaborazione con forze dell'ordine internazionali e che ha portato al sequestro di gran parte dell'infrastruttura server utilizzata dal gruppo per coordinare gli attacchi e presentare richieste di riscatto alle vittime. Questa operazione è stata resa possibile dopo che gli agenti hanno ottenuto i massimi livelli di accesso al sistema LockBit e al pannello web principale utilizzato dagli operatori per comunicare con gli affiliati.

Nel complesso le forze dell'ordine sono riuscite a sequestrare oltre 14.000 account e 34 server dislocati in varie parti del mondo, tra cui Australia, Finlandia, Francia, Germania, Paesi Bassi, Regno Unito, Stati Uniti e Svizzera. Due individui sospettati di essere membri di LockBit sono stati arrestati in Polonia e Ucraina. Le autorità hanno inoltre congelato 200 conti di criptovaluta collegati all'operazione ransomware.

Nei giorni successivi all'annuncio dell'operazione Cronos, i ricercatori di sicurezza hanno rilevato una nuova serie di attacchi che veicolavano il ransomware LockBit e, pochi giorni più tardi, un membro chiave del gruppo ha pubblicato un post affermando che le forze dell'ordine avevano rimosso solo alcune delle infrastrutture utilizzate. I membri di LockBit hanno aperto un nuovo sito sul dark web annunciando la ripresa delle operazioni e nuove vittime, anche se al momento non è chiaro se si tratti di un'effettivo ritorno sulle scene del gruppo ransomware o un modo per riacquistare credibilità nella community degli hacker.