Skip to main content
Articoli Cert

LockBit: leak interno svela database e schema di estorsione

13 Maggio 2025Maggio 20th, 20252 min read

Negli ultimi giorni è emerso nei circuiti underground un dump SQL attribuito al gruppo ransomware LockBit.

Si tratta di una vera e propria fuga di dati interna, che include comunicazioni con le vittime, configurazioni dei payload, indirizzi Bitcoin, utenti e attività.

“Non compiere reati, è brutto. Saluti da Praga”, si legge in un messaggio apparso sul sito ufficiale della banda criminale.

Contenuto del database

Il materiale trapelato include:

  • chats: conversazioni dettagliate con le vittime, incluse istruzioni per la decrittazione di ambienti ESXi
  • btc_addresses: indirizzi Bitcoin utilizzati per ricevere riscatti, associati a ID specifici
  • clients e users: potenziali vittime con timestamp, ID e attività nel pannello
  • builds_configurations: opzioni e parametri dei payload malevoli
  • socket_messages e visits: messaggi in tempo reale e accessi alla piattaforma

Schema di estorsione

L’analisi psicologica delle chat mostra uno schema preciso di estorsione:

  • Autorità costruita (“LockBit ha 6 anni di reputazione”)
  • Minacce (“quando il timer scade, i tuoi dati saranno pubblicati”)
  • Manipolazioni (“sei in buone mani”, “tutto sarà ripristinato lo stesso giorno”)
  • Aggressività (“smettila di fare domande stupide”, “stai mentendo”)

Esempi reali

Dalla fuga di dati sono emerse conversazioni reali tra gli attaccanti e le vittime. Vediamo due esempi reali:

“After payment, you will return all files and business the same day”
“Decryptor will be deleted on ESXi, but you can re-upload it and run again”

Interessante notare che gli operatori forniscono anche istruzioni tecniche dettagliate per decrittare sistemi ESXi tramite chmod, tail -f, ./decrypt.

Threat Intelligence al centro

Un evento di tale portata sottolinea l’importanza dell’attività di un analista di Cyber Threat Intelligence, la quale trascende dalla mera catalogazione di Indicatori di Compromissione (IOC) e Tattiche, Tecniche e Procedure (TTP) e abbraccia una comprensione sofisticata del profilo psicologico dell’attaccante e delle sue strategie di pressione, elementi cruciali per anticipare e contrastare efficacemente le minacce.

Analisi di Vasily Kononov – Threat Intelligence Lead, CYBEROO