Netcrook Logo
👤 TRUSTBREAKER
🗓️ 08 Jan 2026   🗂️ Cyber Warfare    

LockBit 5.0: il colosso del ransomware ora brandisce un’armatura infrangibile

L’ultima evoluzione di LockBit scatena crittografia all’avanguardia e tattiche anti-forensi, alzando la posta in gioco per vittime e difensori.

Quando il ransomware colpisce, ogni secondo conta - ma con l’arrivo di LockBit 5.0, persino il tempo potrebbe non bastare. Questa ultima iterazione dell’operazione ransomware-as-a-service più prolifica al mondo ha mandato onde d’urto nei circoli della cyber difesa, svelando strati di innovazione crittografica e di “magia” anti-analisi che minacciano di rendere obsolete le tradizionali metodologie di ripristino. Con un avvertimento agghiacciante incorporato in ogni nota di riscatto e un arsenale di nuovi trucchi, LockBit 5.0 sta riscrivendo il copione dell’estorsione digitale.

Dati rapidi

  • LockBit 5.0 rappresenta circa il 21% degli attacchi ransomware globali nel 2023.
  • Impiegata crittografia ibrida con ChaCha20-Poly1305 e crittografia a curva ellittica X25519.
  • Prende di mira e disabilita 47 servizi critici di backup e sicurezza per bloccare il ripristino.
  • Randomizza dinamicamente le estensioni dei file per eludere il rilevamento forense.
  • Avverte le vittime che qualsiasi tentativo di recupero distruggerà permanentemente le chiavi di decrittazione.

Una nuova razza di ransomware

Dal suo debutto nel 2019, LockBit è mutato da fastidio regionale a minaccia globale, compromettendo di tutto: dai giganti IT alle istituzioni religiose. LockBit 5.0 rappresenta un salto quantico sia nella capacità offensiva sia nella resilienza. Al suo cuore c’è uno schema crittografico ibrido: i file vengono cifrati con l’algoritmo ChaCha20-Poly1305 per velocità e sicurezza, mentre la crittografia a curva ellittica X25519 e l’hashing BLAKE2b proteggono lo scambio delle chiavi. Questo approccio a due punte garantisce che, anche se i difensori sequestrano l’hardware di una vittima, le chiavi di decrittazione restino provocatoriamente fuori portata.

LockBit 5.0 è progettato sia per le prestazioni sia per la persistenza. I file piccoli vengono cifrati rapidamente, mentre quelli più grandi vengono suddivisi in blocchi e sigillati con controlli di integrità personalizzati - accelerando gli attacchi e garantendo al contempo che i dati restino irrecuperabili. La capacità del malware di funzionare anche in assenza di dati di configurazione rivela un design pensato per sopravvivere in ambienti ostili, scivolando oltre strategie di contenimento e isolamento che potrebbero paralizzare minacce meno evolute.

Disarmare le difese

L’arsenale tecnico non si ferma alla crittografia. LockBit 5.0 prende di mira in modo aggressivo proprio gli strumenti su cui i difensori fanno affidamento: servizi di backup come Veeam e Acronis, software di virtualizzazione e funzionalità fondamentali di ripristino di Windows vengono disabilitati o sospesi sistematicamente. Terminando i componenti del Volume Shadow Copy Service e decine di altri servizi, LockBit assicura che il ripristino dai backup sia praticamente impossibile. L’uso di tecniche di packing e offuscamento protegge ulteriormente il suo funzionamento interno da analisti e sistemi di difesa automatizzati.

Nemmeno le estensioni dei file sono al sicuro dalle macchinazioni di LockBit. Ogni esecuzione dell’infezione genera un set unico di 100 estensioni randomizzate, mandando in confusione gli strumenti di recupero e rendendo quasi impossibile identificare o ripristinare i file cifrati senza pagare il riscatto. Il malware, inoltre, ripulisce le proprie tracce, eliminando i file temporanei per massimizzare la velocità di cifratura ed escludendo i file di sistema critici per mantenere operativi i sistemi infetti - dando agli attaccanti tempo per negoziare, estorcere ed espandere la propria portata.

Affrontare il futuro

LockBit 5.0 è più di una semplice meraviglia tecnica; è un campanello d’allarme. Il suo predominio mette a nudo debolezze persistenti nelle strategie di backup aziendali, nella segmentazione di rete e nel rilevamento delle minacce. Mentre le gang ransomware affinano la loro arte, le organizzazioni devono rispondere allo stesso modo - isolare i backup, andare a caccia di segnali di intrusione e fortificare ogni porta digitale. Il prezzo della compiacenza è più alto che mai e, nell’era di LockBit 5.0, il margine d’errore è praticamente svanito.

WIKICROOK

  • Ransomware: Il ransomware è un software malevolo che cifra o blocca i dati, chiedendo un pagamento alle vittime per ripristinare l’accesso ai propri file o sistemi.
  • ChaCha20: ChaCha20 è un algoritmo di cifratura veloce e sicuro che rimescola i dati per proteggerli da accessi non autorizzati, ampiamente usato nella cybersecurity moderna.
  • X25519: X25519 è un metodo Diffie-Hellman a curva ellittica veloce e sicuro, usato per generare chiavi di cifratura condivise per comunicazioni protette.
  • Volume Shadow Copy Service (VSS): VSS è una funzionalità di Windows che crea snapshot di backup di file o volumi, utile per il ripristino ma spesso presa di mira dal ransomware per impedire il recupero dei dati.
  • Packing e offuscamento: Il packing e l’offuscamento nascondono il codice del malware, rendendo difficile il rilevamento e l’analisi per strumenti di sicurezza e ricercatori in ambito cybersecurity.
LockBit 5.0 ransomware cyber defense
TRUSTBREAKER TRUSTBREAKER
Zero-Trust Validation Specialist
← Back to news