Il Regolamento di affiliazione del gruppo LockBit riassunto, analizzato e commentato dal nostro Cyber Security Specialist Simone Fratus
Nei miei vari incontri cerco sempre di spiegare che è molto importante capire contro chi stiamo combattendo e che armi usano per migliorare o fare scelte migliori per difendersi. Grazie ad un commetto fattomi da un Cio di una importante PA italiana che mi ha ricordato questo riferimento dell'Arte della Guerra di SunTzu che cita:
Se conosci il nemico e te stesso, la tua vittoria è sicura. Se conosci te stesso ma non il nemico, le tue probabilità di vincere e perdere sono uguali. Se non conosci il nemico e nemmeno te stesso, soccomberai in ogni battaglia.
Questo è il "regolamento di affiliazione" del famigerato gruppo LockBit che mi appresto a sottolineare e commentare in alcuni suoi punti fondamentali.
Sono "localizzati" in Olanda e completamente apolitici. Sono solamente interessati a fare soldi. Quindi non è una questione di "caso". Lavorano per remunerare al meglio la loro azienda. Questo vuole dire che qualsiasi target loro individuino per loro è fonte di guadagno. Se non sono stato sufficientemente chiaro è solo una questione di tempo.
Non hanno nessun limite per gli affiliati, o tecnicamente chiamati operatori. Lingua, religione, localizzazione, chiunque abiti su questo pianeta per loro è utile a fare soldi. Quindi anche un ragazzo annoiato può intraprendere questa carriera purché sia votato a fare soldi ed abbia un minimo di conoscenza da pentester.
Sono pronti a lavorare con gli Initial Access Broker (della quale ho già scritto un ebook apposito) condividendo parte del guadagno purché si fidino completamente di loro. Se hanno pubblicato i dati vuole dire che non hanno pagato. Questo è un concetto molto importante. Lockbit lavora molto sulla sua reputazione. Se paghi non condivideranno i tuoi dati. Se non lo fai li renderanno pubblici. Magari certe aziende avessero lo stesso concetto di protezione della reputazione quando trattano dati anche non loro e magari pubblici.
Ci sono i dettagli tecnici e servizi della loro piattaforma come ad esempio accesso amministrativo alla rete Tor, strumenti di chat e condivisione file, automatica decriptazione di file sample, disabilitare strumenti di difesa, SafeMode per bypassare strumenti di end point protection, supporto per tutte le versioni Microsoft, linux e VmWare dal 4 in su....
Nelle regole di affiliazione oltre alle solite cose (a me note, ma magari leggetele) vi è anche il concetto di sub affiliazione. Cioè di crearti il tuo sub dominio e gestire tu i tuoi affiliati. Un concetto di crescita molto chiaro.
Hanno un concetto etico. Non è legale cifrare i dati di infrastrutture critiche, ma è possibile esfiltrare i dati. Questo vi fa capire che oggi il solo ripristino dei dati o i concetti di backup sono molto limitati in quanto il business oggi si è spostato molto oltre. Ne vogliamo parlare?
Non possono essere attaccati paesi ex URSS in quanto la gran parte degli sviluppatori e degli operatori sono di questi paesi. (nota personale: quando sono stato in Kazakistan molti anni fa l'ho considerato un paese emergente con molte più opportunità dell'Italia, qui in Italia quando pensiamo a quel paese ci ricordiamo di Borat. Chissà se qualcuno rifletterà su queste mie parole e sulle mie gag quando lo imito.)
La percentuale che un operatore deve lasciare è pari al 20% del riscatto. Vi è spiegato anche come avverrà il pagamento, perché nella piattaforma vi è anche la gestione della parte finanziaria. (Rileggete le mie linee guida per la gestione della crisi rilasciata per il Cio Club Italia)
Fra i vantaggi che indicano nel lavorare con loro è la loro continuità stabile da oltre 3 anni e di non essere mai stati intercettati dal FBI.
Hanno un Bug bounty program