LockBit 3.0: arriva la nuova versione del ransomware più diffuso, con un programma bug bounty

Il gruppo hacker LockBit ha rilasciato LockBit 3.0, una nuova versione del famigerato ransomware che introduce, per la prima volta in questo contesto, un vero e proprio programma di “bug bounty” e nuove tattiche di estorsione, con l’aggiunta infine della possibilità di corrispondere i pagamenti dei riscatti tramite la criptovaluta Zcash. LockBit è in attività dal 2019, configurandosi nel corso degli anni come la campagna ransomware più prolifica: nel 2022 il 40% circa di tutti gli attacchi ransomware noti sono stati condotti da LockBit.

I programmi di “bug bounty”, traducibile come “caccia al bug”, sono iniziative normalmente adottate da sviluppatori software legittimi tramite le quali chiunque ha la possibilità di ricevere riconoscimenti e ricompense per la segnalazione di bug, specialmente quelli che possono rappresentare gravi vulnerabilità di sicurezza. In questo modo gli sviluppatori hanno un’arma in più per risolvere falle prima che diventino di pubblico dominio. Tra le realtà più note ad avere all’attivo programmi di bug bounty vi sono Google, Meta, Reddit, Oracle, NordVPN, per citarne alcune.

Un gruppo ransomware che avvia un programma di bug bounty è senza dubbio un’azione sfrontata, ma tant’è. Senza contare che rispetto ai programmi di caccia al bug delle realtà legittime, come quelle citate sopra, prestare aiuto ad un’attività criminale è illegale in diverse giurisdizioni. In ogni caso LockBit, come riferisce BleepingComputer, ha messo in palio ricompense in denaro per un valore compreso tra 1000 dollari e 1 milione di dollari per tutti coloro i quali segnaleranno bug e vulnerabilità relative sia al ransomware, sia al sito web del gruppo.

Oltre al programma bug bounty, LockBit 3.0 presenta anche un nuovo modello di estorsione scoperto da Valery Marchive di LeMagIT e che permette a terzi di acquistare i dati che sono stati rubati durante gli attacchi. Non è comunque chiaro se questa tattica di estorsione sia effettivamente abilitata o come funzionerà in futuro.

Infine, come accennato in precedenza, LockBit 3.0 mette ora a disposizione la possibilità di pagare i riscatti tramite la criptovaluta Zcash. Si tratta di una criptovaluta che garantisce privacy ed anonimato, rendendo quindi più complesso tracciare il pagamento e svelare l’identità degli attori di minaccia che fanno parte del gruppo ransowmare. I pagamenti in Bitcoin possono essere tracciati con relativa facilità, mentre l’altra alternativa anonima, ovvero Monero, non è di facile reperibilità sulle principali piattaforme exchange. ZCash, al contrario, è acquistabile su Coinbase rendendo più agevole il pagamento del riscatto per coloro i quali decidessero di scegliere questa via, che è comunque sconsigliata.