L’infrastruttura principale di LockBit è stata smantellata durante la Operation Cronos che ha inoltre portato all’arresto di due membri del gruppo. Grazie alla collaborazione con la National Crime Agency (NCA) del Regno Unito, gli esperti di Trend Micro hanno analizzato il codice della versione 4.0 del ransomware.
LockBit-NG-Dev: supporto multipiattaforma
LockBit è un RaaS (Ransom-as-a-Service), quindi gli sviluppatori del ransomware assegnano ad altri cybercriminali (affiliati) il compito di eseguire gli attacchi, seguendo specifiche regole. Se l’attacco ha successo e la vittima paga il riscatto, gli sviluppatori trattengono il 20%, mentre il restante 80% rimane agli affiliati.
La versione 1.0 è stata pubblicata a gennaio 2020. Successivamente sono state rilasciate le versioni 2.0 (giugno 2021) e 3.0 (marzo 2022). Da ottobre 2021 è disponibile anche una versione Linux usata per colpire i sistemi VMware ESXi. Sui server sequestrati dalle forze di polizia è stato trovato il codice di LockBit-NG-Dev, ovvero la Next Generation (NG) del ransomware in sviluppo (Dev) che sarebbe diventata LockBit 4.0.
Rispetto alla versione 3.0 ci sono diverse modifiche. Innanzitutto è “platform-agnostic”, quindi poteva colpire dispositivi con qualsiasi sistema operativo. È stato scritto in .NET e compilato con CoreRT (le precedenti versioni sono state scritte in C/C++). Il file di configurazione in formato JSON contiene varie informazioni, tra cui data di inizio e fine dell’esecuzione, la chiave RSA pubblica e l’elenco di processi/servizi da terminare.
Sono state eliminate alcune precedenti funzionalità (ad esempio la capacità di auto-propagazione), ma è stata migliorata la procedura di cifratura dei file. La nuova versione supporta tre modalità: completa (intero file), intermittente (porzioni di file non contigui) e rapida (solo i primi 4.096 byte). La chiave RSA pubblica viene usata per cifrare la chiave AES usata per cifrare i file.
Il Dipartimento di Stato degli Stati Uniti ha offerto una ricompensa di 15 milioni di dollari a chiunque fornisca informazioni che portino all’identificazione, alla posizione e all’arresto dei leader di LockBit.