Pubblicato il tool per decodificare i file bloccati dal ransomware LockBit

Nell’ambito dell’operazione di polizia orchestrata a livello internazionale (Operazione Cronos), le forze dell’ordine hanno comunicato l’arresto di due individui appartenenti al gruppo LockBitSupp che agivano in Polonia e Ucraina. Si tratta di persone che erano “burattinai” del ransomware LockBit, i cui server sono stati violati nei giorni scorsi e posti sotto il controllo diretto delle Autorità.

Lo sforzo congiunto che ha permesso ai tecnici delle forze dell’ordine di assumere il controllo di LockBit e spezzare finalmente il legame con i criminali informatici che ne gestivano la piattaforma, ha sfruttato – come già segnalato – alcune vulnerabilità di sicurezza presenti nella configurazione dell’ambiente PHP, utilizzato dai criminali informatici.

Disponibile lo strumento di decodifica per recuperare gratis i file crittografati da LockBit

A seguito dell'”irruzione” nei server utilizzati dai gestori di LockBit, un gruppo di sviluppatori guidati, tra le altre Autorità, da Europol, FBI e National Crime Agency del Regno Unito, hanno potuto sviluppare un tool per decodificare i file criptati dal ransomware. L’iniziativa è frutto del recupero di oltre 1.000 chiavi di decodifica contenute nei server violati dagli agenti e adesso posti sotto sequestro. Il software di decodifica, realizzato da programmatori giapponesi, è disponibile gratuitamente sul sito No More Ransom.

Vanno comunque chiariti alcuni aspetti importanti: come chiarisce già il nome dello strumento di decodifica, Decryption Checker for Lockbit 3.0, il programma va per il momento inteso come un tool volto a verificare se il recupero dei dati fosse o meno materialmente possibile.

Come funzionano i due moduli di analisi e ripristino dei dati cifrati

Il modulo Decryption ID Checker, innanzi tutto, verifica l’ID unico di decodifica di ciascun utente confrontandolo con una lista di chiavi conosciute, recuperate dalle forze dell’ordine. In caso di corrispondenza tra l’ID unico della vittima e la chiave di decodifica raccolta lato server, è effettivamente possibile procedere con la fase di decrypting. Lo script (check_decryption_id.exe) può essere eseguito dalla finestra del terminale di Windows, non richiede installazione e funziona completamente offline.

Lo strumento check_decrypt.exe permette di valutare la fattibilità del recupero dei dati cifrati da LockBit 3.0. Non si tratta ancora di una soluzione completa di decriptazione ma mira a una procedura di recupero parziale.

Anche questo tool lavora in modalità completamente offline e non si appoggia a servizi remoti. Effettua la scansione di tutti i file crittografati con la stessa estensione di 9 lettere, quindi produce un file CSV con le informazioni sui file analizzati. Se la decodifica fosse possibile, il programma fornisce il numero di file recuperabili e le informazioni di contatto per procedere con la decodifica.

Un primo passo che non può prescindere dallo studio del sorgente di LockBit

Per adesso, quindi, gli sviluppatori si sono limitati a utilizzare le chiavi di decodifica acquisite a seguito della violazione dei server di LockBit per fornire un aiuto a chi si trovasse ancora con i dati bloccati dal noto ransomware.

Non si tratta però di una soluzione di carattere generale e ad “ampio respiro”. Sviluppare un tool di decodifica universale comporta lo studio dei codici sorgente di LockBit, che le Autorità di polizia dichiarano adesso di possedere.

Gli agenti hanno anche sequestrato 200 portafogli in criptovaluta connessi agli operatori di LockBit: erano utilizzati per raccogliere i riscatti in denaro versati dalle vittime del ransomware. Non è data sapere l’entità dei fondi presenti all’interno di questi portafogli virtuali.

L’imperativo, adesso, è non abbassare la guardia

Come giustamente osserva Chester Wisniewski, Director Global Field CTO di Sophos, “Lockbit è diventato il gruppo di ransomware più attivo da quando Conti ha abbandonato la scena a metà 2022. La frequenza dei loro attacchi, unita al fatto che non hanno limiti al tipo di infrastruttura da paralizzare, li ha resi anche i più pericolosi degli ultimi anni“. Tuttavia, Wisniewski osserva che – nonostante l'”Operazione Cronos” annunciata nella giornata di ieri – “gran parte dell’infrastruttura usata da LockBit è ancora online, il che probabilmente significa che è al di fuori della portata delle forze dell’ordine“.

Gli fa eco Richard Cassidy, Field CISO di Rubrik, che a sua volta commenta il colpo inferto al gruppo LockBit: “è stata vinta una battaglia, ma la guerra continua“. E prosegue: “sebbene le operazioni del gruppo LockBit appaiano compromesse per un periodo indefinito, non dobbiamo sottovalutarne la capacità di adattamento. Questi gruppi hanno sempre dimostrato una notevole capacità di adattarsi alle azioni delle forze dell’ordine, di far evolvere le loro tattiche e di continuare le loro operazioni, a volte sotto nuove spoglie“.

Gruppi come Hive, ALPHV/BlackCat, con l’evoluzione da DarkSide a BlackMatter, hanno evidenziato l’abilità dei criminali informatici di riprendersi, sfruttando anche il supporto dell’ecosistema Ransomware-as-a-Service (RaaS).

Basti pensare che LockBit ha raccolto qualcosa come 91 milioni di dollari solo dalle aziende statunitensi: Cassidy fa presente che il gruppo avrebbe comunque modo di “riorganizzarsi e sviluppare nuove tattiche, tecniche e procedure, evolvendo e imparando dagli errori“. La parola d’ordine, insomma, è non abbassare la guardia.

Credit immagine in apertura: iStock.com – KTStock