LockBit è tornato: Novità della versione 5.0

12 settembre 2025

Responsabile della ricerca sulle minacce informatiche

LockBit è tornato: Novità della versione 5.0

LockBit è una prolifica operazione di ransomware-as-a-service (RaaS) che si è evoluta in più versioni dal suo debutto nel 2019. Nonostante un importante sequestro da parte delle forze dell'ordine (Operazione Cronos all'inizio del 2024), che ha portato al sequestro dei server e alla fuga delle chiavi di decrittazione, il gruppo è riemerso con LockBit 5.0. Quest'ultima versione si presenta come un "ritorno" per la banda, vantando una crittografia più veloce, un'evasione più forte e un programma di affiliazione rinnovato. Questo blog fornisce un'analisi completa delle caratteristiche tecniche di LockBit 5.0 e spunti d'azione per i team SOC per rafforzare le difese contro le campagne di affiliazione.

*Pagina di accesso a LockBit 5.0* *(Fonte: SOCRadar)*

Rapido riassunto dell'evoluzione di LockBit

LockBit è apparso per la prima volta nel 2019 con il nome di ransomware ABCD, un riferimento all'estensione ".abcd" che aggiungeva ai file crittografati. Questa prima versione era relativamente semplice e si concentrava esclusivamente sulla crittografia rapida dei file locali, senza le tattiche avanzate che vediamo oggi.

Nel 2021, LockBit 2.0 (Red) ha segnato il primo grande salto. Introduce StealBit, uno strumento di esfiltrazione dei dati appositamente costruito che consente agli aggressori di rubare dati sensibili su scala. Questa versione ha anche aggiunto la propagazione automatica attraverso SMB e PsExec, dando agli affiliati la possibilità di diffondersi rapidamente nelle reti aziendali. Nello stesso periodo, il gruppo si è esteso a obiettivi Linux e VMware ESXi, segnalando l'inizio della caccia grossa.

LockBit 3.0 (Black), lanciato nel 2022, ha spinto l'innovazione ancora più in là. È stato il primo gruppo di ransomware a gestire un programma di bug bounty, invitando apertamente gli hacker a contribuire a migliorare il suo malware. Inoltre, ha implementato la crittografia intermittente per accelerare gli attacchi, crittografando solo pezzi di file di grandi dimensioni e rendendoli comunque inutilizzabili. Questa versione ha reso LockBit il gruppo di ransomware più attivo a livello globale, responsabile di oltre il 40% degli incidenti segnalati quell'anno. Un kit di costruzione trapelato alla fine del 2022 ha inoltre fornito ai ricercatori e ai criminali rivali un raro sguardo interno su quanto LockBit fosse diventato personalizzabile.

Alla fine del 2024, LockBit ha risposto alle pressioni delle forze dell'ordine con LockBit 4.0 (Green). Questa versione è stata quasi una riscrittura completa, sviluppata in .NET Core con un'architettura modulare e una maggiore furtività. Sono sparite le funzioni rumorose come lo spam delle stampanti, sostituite dallo sganciamento dell'API, dall'offuscamento e da un'esecuzione più furtiva. La velocità di crittografia ha raggiunto nuovi livelli, in grado di paralizzare grandi reti in pochi minuti. Gli affiliati hanno ottenuto una maggiore flessibilità grazie alle note di riscatto personalizzabili e al supporto degli ambienti Linux ed ESXi.

Ora, con LockBit 5.0, il gruppo sta tentando un ritorno completo dopo i takedown globali e le fughe di notizie interne. Questa versione continua l'approccio modulare, introduce una maggiore elusione contro i moderni EDR e offre incentivi rinnovati agli affiliati per ricostruire la rete. Il risultato è un ceppo di ransomware progettato per essere più veloce, più resistente e più adattabile di tutti i suoi predecessori.

Versione	Tempistica	Caratteristiche e modifiche principali
LockBit 1.0 "ABCD"	2019-2020	Versione iniziale della famiglia, i file vengono aggiunti con .abcd, crittografo di base ma veloce. Capacità di furto di dati limitate in questa fase. Implementazione iniziale in C o C++, nessuno strumento affiliato maturo.
LockBit 2.0 "Red	2021	Introduzione di StealBit per l'esfiltrazione rapida. Migliore automazione per la scoperta e il movimento laterale utilizzando SMB, PsExec, WMI. Significativi miglioramenti della velocità. Aggiunta di armadietti Linux e VMware ESXi per colpire l'infrastruttura virtuale. Formalizzazione del programma RaaS con suddivisione dei ricavi e accesso al pannello per gli affiliati.
LockBit 3.0 "Nero"	2022	Aggiunta la crittografia intermittente per accelerare l'impatto mantenendo i file inutilizzabili. Continua la crittografia ibrida AES e RSA. Lanciata una taglia pubblica sui bug per migliorare le malware . Maturazione del costruttore punta e clicca per gli affiliati. Aumentano le tattiche di doppia e tripla estorsione. In seguito è trapelato un costruttore che ha permesso di creare imitatori e di coprire le firme su build più vecchie.
LockBit 4.0 "Verde"	Dalla fine del 2024 all'inizio del 2025	Importante rielaborazione con base di codice .NET Core e design stealth-first. Complesso hashing dell'API e sganciamento della terra dell'utente per aggirare l'EDR. Eliminazione dell'autopropagazione rumorosa e dell'abuso di stampanti per ridurre i rilevamenti. Crittografia multi thread più veloce, note di riscatto personalizzabili per gli affiliati, infrastruttura Tor decentralizzata per la resilienza. Espansione del target Linux ed ESXi per l'impatto sui centri dati.
LockBit 5.0	Metà-fine 2025	Architettura modulare per consentire agli affiliati di alternare i componenti per ogni campagna. Ulteriori ottimizzazioni della velocità e una maggiore analisi anti. Comunicazioni flessibili durante la negoziazione, portali Tor e Tox dove necessario. Incentivi agli affiliati rinnovati per ricostruire la rete, afflusso di nuovi affiliati. Segnali di cooperazione con gruppi di pari, potenziale coordinamento in stile cartello. L'obiettivo è un tempo di impatto più rapido con una superficie di rilevamento inferiore.

Evoluzione di LockBit RaaS, dal 2019 al 2025

Caratteristiche di LockBit 5.0 in azione: TTP e cosa è cambiato

LockBit 5.0 introduce modularità, crittografia più veloce ed evasione più forte, ma l'impatto reale è il modo in cui queste funzionalità vengono utilizzate durante un'intrusione. Qui di seguito, mappiamo le nuove funzionalità per ogni fase del ciclo di vita dell'attacco, in modo che i team SOC possano vedere esattamente dove concentrare il rilevamento e la risposta.

Accesso iniziale

Novità: l'abbassamento delle barriere del programma di affiliazione (autoregistrazione, reclutamento più ampio) comporta una maggiore varietà di tecniche di intrusione nelle campagne.
Tecniche osservate: Phishing, brute-force e credential stuffing di RDP/VPN, sfruttamento di servizi non patchati come Exchange o Fortinet.
Focus SOC: Monitorare le attività di login anomale, i ripetuti fallimenti dell'autenticazione e l'infrastruttura non patchata rivolta al pubblico.

Esecuzione ed escalation dei privilegi

Novità: i payload vengono spesso lanciati senza file tramite PowerShell o LOLBins e le build possono includere periodi di validità che scadono, ostacolando l'analisi.
Tecniche osservate: Caricatori in memoria, esecuzione di mshta.exe, dumping delle credenziali da LSASS, esfiltrazione dell'hive del registro.
Focus SOC: Rilevare attività di script sospette, in particolare l'avvio di processi figlio di PowerShell e l'accesso al registro di sistema al di fuori delle normali linee di base.

Movimento laterale

Novità: gli affiliati possono attivare i moduli di propagazione, rendendo LockBit meno prevedibile e più furtivo rispetto alle precedenti versioni worm.
Tecniche osservate: PsExec, lavori WMI, abuso di Group Policy Object (GPO) per diffondere il ransomware tra gli host.
Focus SOC: ricerca di nuove creazioni di servizi, comandi WMI remoti insoliti o connessioni RDP laterali al di fuori dell'orario di lavoro.

Difesa Evasione

Cosa c'è di nuovo: elenchi di processi da uccidere ampliati, sganciamento avanzato delle API e offuscamento integrato nell'architettura modulare.
Tecniche osservate: Terminazione degli agenti AV/backup, eliminazione della copia shadow (vssadmin delete), cancellazione dei registri, controlli sandbox/VM.
Focus SOC: Correlare gli arresti di massa di processi/servizi con modifiche del registro o esecuzioni di comandi amministrativi.

Impatto ed estorsione

Cosa c'è di nuovo: la velocità di crittografia è maggiore grazie all'ottimizzazione della crittografia intermittente. Le note di riscatto possono includere scadenze di pagamento graduali e ID Tox anziché solo portali Tor.
Observed techniques: Large-scale file renaming with randomized extensions, {random}.README.txt ransom notes in directories, wallpaper changes, exfiltration via StealBit/Rclone.
Focus SOC: Rilevare la rinominazione di file in blocco, le modifiche inattese dello sfondo e i trasferimenti anomali in uscita verso il cloud storage o i server sconosciuti.

Perché la prevenzione da sola non è sufficiente contro LockBit 5.0

LockBit 5.0 evidenzia una scomoda verità: anche i controlli di prevenzione ben calibrati non possono fermare tutti gli attacchi. Gli affiliati sfruttano credenziali deboli, sistemi non patchati o phishing per entrare e, una volta dentro, utilizzano strumenti e tecniche che si confondono con le attività legittime. Quando il ransomware esplode, il danno è già fatto.

È qui che i livelli di prevenzione tradizionali falliscono:

Le difese perimetrali come firewall, VPN e MFA bloccano molti tentativi, ma non sono in grado di riconoscere le credenziali valide rubate. Se un utente malintenzionato accede come utente fidato, riesce a passare direttamente.
Gli agentiEndpoint possono essere uccisi o aggirati. LockBit 5.0 termina in modo aggressivo i processi AV e EDR, esegue senza file in memoria e sgancia le API, lasciando poche tracce.
Gli strumenti incentrati sui registri (SIEM, DLP) dipendono dalla visibilità che gli aggressori possono rimuovere. LockBit cancella i registri degli eventi ed elimina le copie shadow, accecando i difensori appena prima dell'inizio della crittografia.
I backup sono direttamente presi di mira. Gli elenchi di processi da eliminare includono i servizi di backup e ripristino, lasciando le organizzazioni senza la loro ultima linea di difesa.

Per i team SOC, questo significa che concentrarsi solo sulla prevenzione non è sufficiente. È fondamentale una strategia di rilevamento e risposta post-compromissione che vada a caccia dei comportamenti che gli aggressori non possono nascondere:

Uso improprio delle credenziali ed escalation dei privilegi.
Movimento laterale insolito tramite PsExec, WMI o GPO.
Terminazione di massa del processo ed eliminazione della copia shadow.
Trasferimenti anomali di dati in uscita verso servizi cloud o canali Tor/Tox.

Rilevare le attività correlate a LockBit con Vectra AI

La PiattaformaVectra AI è stata creata per colmare questa lacuna di rilevamento. Invece di basarsi esclusivamente su registri o firme, analizza continuamente i comportamenti in rete, identità, cloud e ambienti SaaS, facendo emergere in tempo reale le attività reali degli aggressori. Combinando la prevenzione con il rilevamento post-compromissione e la risposta guidata dall'intelligenza artificiale, i team SOC possono bloccare LockBit 5.0 prima che la crittografia comprometta le operazioni aziendali.

Esplorate la nostra demo autoguidata per vedere come Vectra AI colma il divario e garantisce che quando la prevenzione fallisce, il rilevamento e la risposta sono pronti.

---

Fonti: Le informazioni contenute in questo blog sono tratte da una serie di analisi di intelligence sulle minacce, tra cui blog di ricerca del settore e avvisi ufficiali. I riferimenti principali includono il blog di SOCRadar blog di intelligence sulle minacce di SOCRadar sulle funzionalità di LockBit 5.0e il avviso congiunto (maggio 2025) che illustra in dettaglio la TTP di LockBit 3.0/4.0, il rapporto di Trend Micro in collaborazione con la NCA del Regno Unito sui nuovi sviluppi di LockBit, e la ricerca Trellix sui dati del pannello di amministrazione di LockBit trapelati.

Volete saperne di più?

Vectra AI è leader nel rilevamento e nella risposta alle minacce cloud ibrido guidato dall'intelligenza artificiale. La piattaforma e i servizi Vectra coprono il cloud pubblico, le applicazioni SaaS, i sistemi di identità e l'infrastruttura di rete, sia on-premises che cloud. Le organizzazioni di tutto il mondo si affidano alla piattaforma e ai servizi di Vectra per resistere a ransomware, compromissioni della catena di approvvigionamento, appropriazioni di identità e altri attacchi informatici che colpiscono la loro organizzazione.

Se volete saperne di più, contattateci e vi mostreremo esattamente come facciamo e cosa potete fare per proteggere i vostri dati. Possiamo anche mettervi in contatto con uno dei nostri clienti per conoscere direttamente le loro esperienze con la nostra soluzione.

Contattateci