In questi ultimi anni gli attacchi ransomware, che sono i più redditizi per chi li pratica, si sono moltiplicati e sono cresciuti i gruppi di cyber criminali che li praticano.
I gruppi cyber criminali attivi nel ransomware sono monitorati dal 2022 anche dal sito italiano Ransomfeed.it.
In questa immagine vediamo elencati i 78 gruppi che hanno portato attacchi nel 2024:
Questo sito segnala che nel mese di febbraio 2025 c'è stato un incremento del 158% degli attacchi ransomware a livello mondiale rispetto allo stesso periodo del 2024: 962 attacchi nel febbraio 2025 contro i 373 del febbraio 2024.
In questa altra grafica (fonte: Dark Mirror – Osservatorio delle Minacce Ransomware di Red Hot Cyber Report H2 2024) vediamo i gruppi più attivi nel 2° semestre 2024:
Riportiamo anche l'infografica del sito hackrisk.io (di Hackmanac) che elenca i gruppi cyber criminali più attivi nel 2023:
Anche in questo elenco vediamo che il gruppo più importante ed autore del maggior numero di attacchi ransomware a livello mondiale è LockBit3.0.
Chi è il gruppo Lockbit
Raccontiamo il caso di LockBit3.0, perché è il gruppo "leader di mercato" tra le bande cyber criminali a livello mondiale.
È apparso nel febbraio 2020, è di matrice russa, come il 75% dei gruppi ransomware attivi attualmente.
A settembre 2020 LockBit ha aperto nel dark web il "sito di rivendicazione" o data-leak-site (DLS), applicando il modello di business della doppia estorsione.
Nel data-leak-site (DLS), utilizzato ormai da tutti i gruppi ransomware, vengono pubblicati i nomi delle aziende colpite e - quando queste non abbiamo ceduto alla doppia estorsione - vengono resi disponibili i dati che il cyber criminale ha esfiltrato alla vittima. È accaduto, per esempio, con l'AULSS 6 Euganea di Padova a fine 2021, di cui Lockbit ha pubblicato nel gennaio 2022 nel dark web 9.346 file, suddivisi in 51 cartelle.
Vediamo nella figura sotto uno screenshot tratto dal dark web che raffigura il data-leak-site di LockBit3.0: tra le vittime appare anche Boeing. A conferma che vengono colpite anche aziende molto grandi e che dovrebbero essere meglio difese.
Il Ransomware-as-a service (RaaS).
LockBit ha sviluppato, fin dall'inizio nel 2020, anche un nuovo modello di business: il Ransomware-as-a service (RaaS), con un programma di affiliazione per il reclutamento e il marketing degli affiliati.
Ormai questo modello di business, assimilabile ad un franchising, viene adottato da tutte le maggiori gang dedite al ransomware.
Gli sviluppatori (cioè LockBit) trattengono un fee sui riscatti incassati (circa il 20÷30%), il resto va al "cliente".
Si ritiene che abbia reclutato decine di affiliati, ciascuno dei quali genera una media di 70÷80 attacchi.
Questa "industrializzazione" del cybercrime ha fatto nascere una filiera produttiva in grado di offrire un ampio portafoglio di servizi, con una diversificazione dei ruoli.
Il RaaS abbassa la soglia d'ingresso al cybercrime, rendendolo accessibile anche a soggetti meno capaci. Chiunque li può "acquistare", personalizzare e diffondere per infettare vittime, criptare i loro documenti e chiedere un riscatto in bitcoin.
Nell'immagine sotto riportiamo uno screenshot della "pagina di affiliazione" del sito LockBit3.0. Vediamo come le "Affiliate Rules" vengono descritte con grande precisione e dettaglio, per invitare altri malintenzionati a diventare loro affiliati. In pratica rivenditori e distributori del ransomware.
Operation Cronos contro i ransomware di LockBit
L'aggressività di LockBit, il gran numero di attacchi rivendicati ed i danni generati nel mondo l'ha portato nel mirino delle polizie di tutto il mondo.
Il 20 febbraio 2024 un'operazione denominata Operation Cronos condotta dalla NCA (National Crime Agency UK) assieme alla FBI e in collaborazione con polizie di altri nove Paesi ha preso il controllo dei servizi di LockBit. Smantellando l'intera infrastruttura della cyber gang.
I quei giorni chi tentava di accedere sul dark web al sito di LockBit avrebbe trovato questa schermata, che mostrava che
Il sito è ora sotto il controllo delle forze dell'ordine.
Sono stati congelati oltre 200 conti di criptovaluta collegati al gruppo e bloccati anche 28 server appartenenti ad affiliati di LockBit.
Ma LockBit nel giro di pochi giorni ha ricostruito su altri server la propria infrastruttura informatica ed è ripartito nella sua attività criminale.
Questo ci fa comprendere quanto sia difficile combattere il cybercrime. Queste organizzazioni criminali sono strutture liquide, distribuite nell'intero pianeta e l'infrastruttura informatica può essere facilmente recuperata o replicata, a meno che non vengano colpiti ed arrestati i vertici stessi dell'organizzazione.
Ma in questa operazione sono stati arrestati solo due membri di LockBit in Polonia e Ucraina, pesci piccoli, mentre i capi sono ancora liberi ed operativi, con tutta probabilità in Russia. Cioè in uno stato che non collabora con le polizie occidentali nel contrasto al cybercrime.
