La gang che ha sviluppato un ransomware-as-a-service come LockBit sostiene di essere vittima di un pesante attacco DDoS (Distributed Denial of Service). L’aggressione, arrivata contemporaneamente da migliaia di sistemi collegati alla rete Internet, avrebbe permesso di rendere irraggiungibili tutti i siti onion affacciati sul network Tor che vengono usati da chi tiene i fili di LockBit per rendere di pubblico dominio i dati riservati rastrellati sui sistemi di aziende più o meno famose.
Il team di LockBit usa una serie di siti per documentare i “leak” ovvero l’avvenuta sottrazione di dati in seguito alle varie infezioni ransomware. Dopo l’attacco LockBit chiede alle vittime di versare un importo in denaro per evitare la pubblicazione dei dati aziendali. Scaduto l’ultimatum, LockBit pubblica i link con il materiale razziato.
Abbiamo già visto cos’è LockBit e come funziona il suo fiorente business criminoso.
L’attacco DDoS subìto da LockBit: cosa sappiamo
Un attacco DDoS è un’aggressione informatica che mira a rendere indisponibile un servizio altrui andando progressivamente a saturare le risorse che vengono di solito utilizzate per erogarlo. Si immagini un server Web: quando il numero di richieste di connessione che provengono da host remoti diventa ingestibile (per via della configurazione hardware e software del server oltre che della capacità del collegamento di rete) il sito “crolla” e diventa irraggiungibile.
Il ricercatore Azim Shukuhi (Cisco Talos) sostiene che i siti onion usati da LockBit per condividere le informazioni sugli attacchi messi a segno sarebbero stati presi di mira con oltre 400 richieste al secondo provenienti da più di 1.000 server.
Un’altra fonte, interfacciandosi con la gang di LockBit, rivela che il DDoS subìto sarebbe riconducibile all’attacco ransomware sferrato a Entrust. Si tratterebbe insomma di una sorta di rappresaglia per aver deciso di pubblicare dati riconducibili alla nota società attiva nella protezione dei dati e nella sicurezza informatica.
Venerdì scorso i criminali informatici che gestiscono LockBit hanno affermato di essere loro gli autori dell’attacco lamentato da Entrust a giugno 2022 (questo il messaggio che Entrust ha inviato ai clienti e che è stato ripubblicato da Dominic Alvieri). Durante il fine settimana sono iniziate a trapelare una serie di informazioni tratte presumibilmente dal materiale esfiltrato che potrebbero verosimilmente aver innescato l’azione dimostrativa dell’aggressione DDoS.
Come si vede nel primo tweet, una stringa presente nelle richieste di connessione HTTP pervenute sui server di LockBit si legge l'”educata” esortazione a cancellare i dati di Entrust.
In un altro commento Shukuhi osserva: “abbiamo le prove che una società di cybersicurezza stia effettuando un DDoS? Potrebbe trattarsi di concorrenti o di qualcuno che nutre astio nei confronti dei due principali operatori del mondo RaaS (oltre a LockBit è stato preso di mira con un attacco DDoS anche ALPHV-BlackCat, n.d.r.). Non ci sono ancora prove in merito“.
Anche se probabilmente non sapremo mai chi c’è dietro questi attacchi DDoS, essi si sono dimostrati efficaci, almeno per adesso, al fine di bloccare o comunque rallentare le attività dei criminali informatici. Resta da vedere se le vittime, le società di cybersicurezza o addirittura i governi adotteranno queste tattiche in futuro, a meno che non le stiano già usando.
Da parte sua LockBit ha risposto che si sta attrezzando per rendere economicamente impraticabili questi attacchi DDoS.