Ransomware Inc. il modello di business dietro i milioni di LockBit
Samuel Vojtáš – Malware Analyst di Gendigital, nata dalla fusione di NortonLifeLock e Avast, ha redatto un interessante documento, che ti invitiamo a leggere (clicca qui), in cui descrive come LockBit, nota gang di ransomware, non operi più come un semplice gruppo di hacker, ma come una vera e propria azienda criminale, adottando un modello di business sistematico e strutturato, tipico delle startup tecnologiche, per massimizzare i profitti e la portata delle sue operazioni criminali. Ecco perché si parla di un vero restyling aziendale del ransomware. I punti del suo modello di business sono:
- Ransomware-as-a-Service (RaaS)
- Gestione aziendale
- Divisione dei profitti
- Reclutamento e onboarding
- Risultati economici
Come funziona il modello di business
LockBit fornisce il software e l’infrastruttura (un pannello di controllo) a una rete di affiliati (come se fossero dei “franchising” del crimine). Questi affiliati usano il software per infettare le vittime e gestire le negoziazioni. Gli affiliati sono persone iscritte al programma di affiliazione di LockBit (proprio come nei franchising). Per entrare a far parte del programma, i nuovi affiliati devono pagare una quota di iscrizione (circa 700-810 dollari).
Dopo aver ottenuto l’accesso al pannello, ottengono i permessi per creare versioni specifiche del ransomware LockBit. Queste build vengono poi distribuite ai sistemi delle vittime, sia tramite accesso ottenuto in autonomia che tramite broker terzi. La gang usa un sofisticato pannello di controllo, simile a un sistema CRM legittimo, per tracciare le vittime, gestire le chat di negoziazione e monitorare i pagamenti.
Quando una vittima viene compromessa, viene indirizzata all’infrastruttura di LockBit, dove approda in una Chatroom privata assegnata all’affiliato che l’ha infettata. È a questo punto comincia il vero business:
- negoziazione
- manipolazione
- guerra psicologica
Gli affiliati si presentano spesso come freddi e orientati alla transazione, ma i log delle chat rivelano un lato più manipolativo: usano infatti l’urgenza creata artificialmente e minacce sottili, progettate per fiaccare le vittime e spingerle a pagare.
Quando viene concordato un riscatto, l’affiliato genera un nuovo Wallet Bitcoin (wallet di riscatto) per ricevere il pagamento. Questi wallet sono creati e controllati dall’affiliato e quindi non sono direttamente memorizzati nel database del pannello di LockBit. Quando una vittima paga il riscatto, l’affiliato che ha gestito l’estorsione tiene l’80% del bottino, mentre il restante 20% va agli operatori di LockBit come “commissione”.
In conclusione
L’analisi dei dati trapelati mostra che, sebbene ci siano state centinaia di vittime, solo una minima parte ha pagato il riscatto, generando un profitto totale di circa 2,6 milioni di dollari in un periodo limitato. Questo suggerisce che, pur essendo un’operazione su larga scala, la maggior parte dei tentativi di estorsione non va a buon fine.
Insomma il ransomware non è più quello di una volta. Quella che era l’opera di hacker solitari, si è evoluta in un sofisticato modello di business noto come Ransomware-as-a-Service (RaaS). In questo sistema, gli sviluppatori di ransomware e una rete di affiliati collaborano come qualsiasi impresa legittima (tranne per la parte in cui estorcono le persone). La differenza con le aziende tradizionali sta nel fatto che i gruppi di ransomware non pubblicano rapporti sugli utili o bilanci. Le loro attività sono nascoste nell’ombra, finché qualcosa non va storto.
Nell’articolo che vi suggeriamo di leggere viene esplorato proprio uno di questi momenti ovvero il 7 maggio 2025, quando il pannello di LockBit, probabilmente il gruppo di ransomware più noto, è stato manomesso, esponendo un link a un dump del suo database interno.
Per i lettori interessati a una ripartizione più tecnica del pannello LockBit e dei suoi componenti, Trellix ha pubblicato un’analisi approfondita di reverse engineering disponibile qui.