Recentemente, due individui russi, Ruslan Magomedovich Astamirov e Mikhail Vasiliev, hanno ammesso il loro coinvolgimento in numerosi attacchi ransomware da parte di LockBit, i quali hanno colpito vittime sia negli Stati Uniti che in altre parti del mondo. Secondo il Dipartimento di Giustizia degli Stati Uniti, questi attacchi facevano parte di un'operazione di ransomware-as-a-service.
Astamirov e Vasiliev, affiliati al gruppo LockBit, avevano il compito di identificare e violare i sistemi vulnerabili nelle reti delle vittime. Una volta dentro, rubavano dati sensibili e distribuivano i payload di ransomware per criptare i file.
Successivamente, chiedevano un riscatto alle vittime in cambio della cancellazione dei dati rubati e della decriptazione dei file. In caso di mancato pagamento, LockBit lasciava i dati criptati e pubblicava le informazioni rubate sul dark web, aumentando così la pressione sulle vittime.
Secondo i documenti del tribunale, Astamirov, noto anche come BETTERPAY, offtitan ed Eastfarmer, ha distribuito il ransomware LockBit tra il 2020 e il 2023, colpendo almeno una dozzina di vittime, tra cui aziende in Virginia, Giappone, Francia, Scozia e Kenya. Da queste operazioni ha raccolto almeno 1,9 milioni di dollari in pagamenti di riscatto.
Vasiliev, noto anche come Ghostrider, Free, Digitalocean90, Digitalocean99, Digitalwaters99 e Newwave110, ha utilizzato il ransomware LockBit in almeno 12 attacchi tra il 2021 e il 2023, causando danni e perdite per almeno 500.000 dollari a vittime situate in New Jersey, Michigan, Regno Unito e Svizzera.
Astamirov è stato arrestato in Arizona nel giugno del 2023 e accusato di aver distribuito il ransomware di LockBit. Vasiliev, estradato negli Stati Uniti a giugno, è stato già condannato a quattro anni di prigione da un tribunale dell'Ontario per il suo coinvolgimento nell'operazione ransomware di LockBit. Astamirov potrebbe affrontare una pena massima di 25 anni di prigione, mentre Vasiliev potrebbe ricevere una pena massima di 45 anni.
LockBit, noto anche come ABCD, è emerso nel settembre 2019 ed è stato collegato a numerosi attacchi contro aziende e organizzazioni di alto profilo, tra cui Boeing, il gigante automobilistico Continental, Bank of America, l'Agenzia delle Entrate italiana e la Royal Mail del Regno Unito.
Nel febbraio 2024, le forze dell'ordine hanno condotto l'Operazione Cronos, smantellando l'infrastruttura di LockBit e sequestrando 34 server che contenevano oltre 2.500 chiavi di decrittazione.
Nonostante questi interventi, LockBit continua ad essere attivo, trasferendosi su nuovi server e domini del dark web e continuando a colpire le vittime. Secondo il Dipartimento di Giustizia degli Stati Uniti, e l'Agenzia Nazionale per il Crimine del Regno Unito, la gang ha estorto tra i 500 milioni e 1 miliardo di dollari attraverso almeno 7.000 attacchi tra giugno 2022 e febbraio 2024.