Automatizza il contenimento degli attacchi ibridi con 360 Response

Automatizza il contenimento degli attacchi ibridi con 360 Response >

Vectra AI, una delle aziende leader nel Magic Quadrant 2025 di Gartner per il rilevamento e la risposta di rete (NDR)
Icona hamburger nella riga superiore
Icona hamburger linea centrale
Icona hamburger in basso
Briefing sulle minacce

LockBit è tornato: cosa c'è di nuovo nella versione 5.0

12 settembre 2025
Lucie Cardiet
Responsabile della ricerca sulle minacce informatiche
LockBit è tornato: cosa c'è di nuovo nella versione 5.0

LockBit è un prolifico operazione di ransomware-as-a-service (RaaS) che si è evoluta attraverso diverse versioni dal suo debutto nel 2019. Nonostante un'importante operazione delle forze dell'ordine (Operazione Cronos all'inizio del 2024) che ha portato al sequestro dei server e alla divulgazione delle chiavi di decrittazione, il gruppo è riemerso con LockBit 5.0. Quest'ultima versione è posizionata come un "ritorno" per la banda, vantando una crittografia più veloce, un'evasione più forte e un programma di affiliazione rinnovato. Questo blog fornisce un'analisi completa delle caratteristiche tecniche di LockBit 5.0 e approfondimenti pratici per i team SOC per rafforzare le difese contro le sue campagne guidate dagli affiliati.

Pagina di accesso LockBit 5.0 (Fonte: SOCRadar)

Breve riassunto dell'evoluzione di LockBit

LockBit è apparso per la prima volta nel 2019 con il nome di ransomware ABCD, un riferimento all'estensione ".abcd" che aggiungeva ai file crittografati. Questa prima versione era relativamente semplice e si concentrava esclusivamente sulla crittografia rapida dei file locali, senza le tattiche avanzate che vediamo oggi.

Nel 2021, LockBit 2.0 (Red) ha segnato il primo grande balzo in avanti. Ha introdotto StealBit, uno strumento appositamente progettato per l'esfiltrazione dei dati che ha consentito agli aggressori di rubare dati sensibili su larga scala. Questa versione ha anche aggiunto la propagazione automatizzata tramite SMB e PsExec, dando agli affiliati la possibilità di diffondersi rapidamente nelle reti aziendali. Nello stesso periodo, il gruppo si è espanso verso obiettivi Linux e VMware ESXi, segnando l'inizio della sua attenzione verso la caccia grossa.

LockBit 3.0 (Black), lanciato nel 2022, ha spinto l'innovazione ancora più avanti. È stato il primo gruppo di ransomware a lanciare un programma di bug bounty, invitando apertamente gli hacker ad aiutare a migliorare malware proprio malware. Ha anche implementato la crittografia intermittente per accelerare gli attacchi, crittografando solo parti di file di grandi dimensioni e rendendoli comunque inutilizzabili. Questa versione ha consolidato LockBit come il gruppo di ransomware più attivo a livello globale, responsabile di oltre il 40% degli incidenti segnalati quell'anno. Un kit di costruzione trapelato alla fine del 2022 ha anche offerto ai ricercatori, e ai criminali rivali, una rara visione dall'interno di quanto LockBit fosse diventato personalizzabile.

Alla fine del 2024, LockBit ha risposto alle pressioni delle forze dell'ordine con LockBit 4.0 (Green). Questa versione era quasi completamente riscritta, sviluppata in .NET Core con un'architettura modulare e una maggiore invisibilità. Sono state eliminate le funzioni rumorose come lo spam della stampante, sostituite da API unhooking, offuscamento ed esecuzione più furtiva. La velocità di crittografia ha raggiunto nuovi livelli, in grado di paralizzare grandi reti in pochi minuti. Gli affiliati hanno guadagnato maggiore flessibilità con richieste di riscatto personalizzabili e supporto per ambienti Linux ed ESXi.

Ora, con LockBit 5.0, il gruppo sta tentando un ritorno in grande stile dopo gli smantellamenti globali e le fughe di notizie interne. Questa versione continua l'approccio modulare, introduce una maggiore capacità di elusione contro i moderni EDR e offre incentivi rinnovati agli affiliati per ricostruire la propria rete. Il risultato è una variante di ransomware progettata per essere più veloce, più resistente e più adattabile rispetto a qualsiasi sua predecessora.

Versione Tempistica Caratteristiche principali e modifiche
LockBit 1.0
"ABCD"		 Dal 2019 al 2020 Versione iniziale per uso familiare, file con estensione .abcd, crittografia di base ma veloce. Capacità di furto dati limitate in questa fase. Implementazione iniziale in C o C++, strumenti di affiliazione non ancora maturi.
LockBit 2.0
e "Red"		 2021 Introduzione di StealBit per una rapida esfiltrazione. Migliore automazione per il rilevamento e il movimento laterale utilizzando SMB, PsExec, WMI. Significativi miglioramenti in termini di velocità. Aggiunti locker Linux e VMware ESXi per colpire l'infrastruttura virtuale. Formalizzato il programma RaaS con ripartizione dei ricavi e accesso al pannello per gli affiliati.
LockBit 3.0
e "Black"		 2022 Aggiunta la crittografia intermittente per accelerare l'impatto mantenendo i file inutilizzabili. Continuato l'uso della crittografia ibrida AES più RSA. Lanciato un bug bounty pubblico per malware . Builder maturo "punta e clicca" per gli affiliati. Aumento delle tattiche di estorsione doppia e tripla. Il builder è poi trapelato, consentendo la comparsa di imitatori e la copertura delle firme sulle versioni precedenti.
LockBit 4.0
e "Green"		 Fine 2024 - inizio 2025 Importante rielaborazione con codice base .NET Core e design stealth-first. Complesso hashing API e sganciamento user land per bypassare EDR. Rimozione della propagazione rumorosa e dell'abuso della stampante per ridurre i rilevamenti. Crittografia multi-thread più veloce, richieste di riscatto personalizzabili per gli affiliati, infrastruttura Tor decentralizzata per garantire la resilienza. Targeting Linux ed ESXi ampliato per un maggiore impatto sui data center.
LockBit 5.0 Da metà a fine 2025 Architettura modulare che consente agli affiliati di attivare o disattivare i componenti in base alla campagna. Ulteriori ottimizzazioni della velocità e maggiore protezione contro le analisi. Comunicazioni flessibili durante le negoziazioni, portali Tor e Tox dove necessario. Incentivi rinnovati per gli affiliati per ricostruire la rete, afflusso di nuovi affiliati. Segnali di cooperazione con gruppi di pari, potenziale coordinamento in stile cartello. L'obiettivo è ottenere un impatto più rapido con una superficie di rilevamento inferiore.
Evoluzione di LockBit RaaS, dal 2019 al 2025

Funzionalità di LockBit 5.0 in azione: TTP e cosa è cambiato

LockBit 5.0 introduce modularità, crittografia più veloce e maggiore capacità di evasione, ma il vero impatto è dato dal modo in cui queste caratteristiche si manifestano durante un'intrusione. Di seguito, mappiamo le nuove funzionalità in ciascuna fase del ciclo di vita dell'attacco, in modo che i team SOC possano capire esattamente dove concentrare le attività di rilevamento e risposta.

Accesso iniziale

  • Novità: l'abbassamento delle barriere del programma di affiliazione (registrazione automatica, reclutamento più ampio) comporta tecniche di intrusione più variegate nelle campagne.
  • Tecniche osservate: Phishing, attacchi brute-force e credential stuffing di RDP/VPN, sfruttamento di servizi non aggiornati come Exchange o Fortinet.
  • Focus SOC: monitoraggio di attività di accesso anomale, ripetuti errori di autenticazione e infrastrutture pubbliche non aggiornate.

Esecuzione e aumento dei privilegi

  • Novità: i payload vengono spesso lanciati senza file tramite PowerShell o LOLBins e le build possono includere periodi di validità che scadono, ostacolando l'analisi.
  • Tecniche osservate: caricatori in memoria, esecuzione di mshta.exe, dump delle credenziali da LSASS, esfiltrazione dell'hive del registro.
  • Obiettivo SOC: rilevare attività sospette degli script, in particolare PowerShell che genera processi figli e accessi al registro al di fuori dei valori di riferimento normali.

Movimento laterale

  • Novità: gli affiliati possono attivare i moduli di propagazione, rendendo LockBit meno prevedibile e più furtivo rispetto alle precedenti versioni worm.
  • Tecniche osservate: PsExec, processi WMI, abuso di oggetti Criteri di gruppo (GPO) per diffondere il ransomware tra gli host.
  • Focus SOC: ricerca di nuove creazioni di servizi, comandi WMI remoti insoliti o connessioni RDP laterali al di fuori dell'orario di lavoro.

Evasione della difesa

  • Novità: elenchi di terminazione dei processi ampliati, disattivazione avanzata delle API e offuscamento integrato nell'architettura modulare.
  • Tecniche osservate: terminazione di agenti AV/di backup, eliminazione delle copie shadow (vssadmin delete), cancellazione dei log, controlli sandbox/VM.
  • Focus SOC: correlare le interruzioni di massa dei processi/servizi con le modifiche al registro o l'esecuzione di comandi amministrativi.

Impatto ed estorsione

  • Novità: la velocità di crittografia è maggiore grazie alla crittografia intermittente ottimizzata. Le richieste di riscatto possono includere scadenze di pagamento a più livelli e ID Tox invece che solo portali Tor.
  • Observed techniques: Large-scale file renaming with randomized extensions, {random}.README.txt ransom notes in directories, wallpaper changes, exfiltration via StealBit/Rclone.
  • Focus SOC: rileva rinominazioni di file in blocco, modifiche impreviste dello sfondo e trasferimenti in uscita anomali verso cloud o server sconosciuti.
Post su X contenente screenshot della piattaforma LockBit 5.0

Perché la prevenzione da sola non basta contro LockBit 5.0

LockBit 5.0 mette in luce una scomoda verità: anche i controlli di prevenzione più efficaci non sono in grado di fermare tutti gli attacchi. Gli affiliati sfruttano credenziali deboli, sistemi non aggiornati o phishing introdursi nei sistemi e, una volta all'interno, utilizzano strumenti e tecniche che si confondono con le attività legittime. Quando il ransomware viene attivato, il danno è già fatto.

Ecco dove i tradizionali livelli di prevenzione non sono sufficienti:

  • Le difese perimetrali come firewall, VPN e MFA bloccano molti tentativi, ma non sono in grado di riconoscere credenziali valide rubate. Se un aggressore accede come utente fidato, passa senza problemi.
  • Endpoint possono essere eliminati o aggirati. LockBit 5.0 termina in modo aggressivo i processi AV ed EDR, viene eseguito senza file nella memoria e sgancia le API, lasciando poche tracce.
  • Gli strumenti incentrati sui log ( SIEM, DLP) dipendono dalla visibilità che gli aggressori possono rimuovere. LockBit cancella i log degli eventi ed elimina le copie shadow, accecando i difensori proprio prima dell'inizio della crittografia.
  • I backup sono presi di mira direttamente. Le liste di eliminazione dei processi includono i servizi di backup e ripristino, lasciando le organizzazioni senza la loro ultima linea di difesa.

Per i team SOC, ciò significa che concentrarsi esclusivamente sulla prevenzione non è sufficiente. È fondamentale adottare una strategia di rilevamento e risposta post-compromissione, che individui i comportamenti che gli aggressori non possono nascondere:

  • Uso improprio delle credenziali e aumento dei privilegi.
  • Movimento laterale insolito tramite PsExec, WMI o GPO.
  • Terminazione di massa dei processi ed eliminazione delle copie shadow.
  • Trasferimenti anomali di dati in uscita verso cloud o canali Tor/Tox.

Rileva le attività correlate a LockBit con Vectra AI

La Vectra AI è stata creata per colmare questa lacuna nel rilevamento. Anziché affidarsi esclusivamente ai log o alle firme, analizza continuamente i comportamenti negli ambienti di rete, identità, cloud e SaaS, rivelando in tempo reale le attività reali degli aggressori. Combinando la prevenzione con il rilevamento post-compromissione e la risposta basata sull'intelligenza artificiale, i team SOC possono fermare LockBit 5.0 prima che la crittografia paralizzi le operazioni aziendali.

Esplora la nostra demo autoguidata per scoprire come Vectra AI il divario e garantisce che, quando la prevenzione fallisce, il rilevamento e la risposta siano pronti.

---

Fonti: Le informazioni contenute in questo blog sono tratte da una serie di analisi di intelligence sulle minacce, inclusi blog di ricerca di settore e avvisi ufficiali. Tra i riferimenti principali figurano il blog di SOCRadar sulle caratteristiche di LockBit 5.0, l' avviso congiunto (maggio 2025) che descrive in dettaglio le TTP di LockBit 3.0/4.0, il rapporto di Trend Micro in collaborazione con la NCA britannica sui nuovi sviluppi di LockBit e la ricerca di Trellix sui dati trapelati dal pannello di amministrazione di LockBit.

Domande frequenti