LockBit Team colpisce Evolve Bank & Trust, ma sbaglia la rivendicazione

Il gruppo ransomware LockBit Team è tornato attivo a breve distanza da Operation Cronos, l’operazione di polizia internazionale che ha portato all’arresto di due affiliati e al sequestro del portale dei leak.

Le rivendicazioni pubblicate fra aprile e giugno 2024 hanno superato quota 150 e riguardano, a livello globale, soprattutto realtà dei servizi professionali e del comparto industriale. Fra i target italiani più recenti, vi sono l’Università di Siena e alcune aziende del settore manufatturiero.

Un attacco segnalato a fine giugno ha assunto una particolare risonanza, poiché l’avversario dichiarava di aver compromesso la Federal Reserve americana e di averle sottratto 33 TB di informazioni bancarie.

L’analisi dei sample messi a disposizione a riprova della violazione ha però fatto sorgere dubbi sull’identità effettiva della vittima. A distanza di qualche giorno, LockBit Team è stato costretto a correggersi, dichiarando di aver in realtà colpito la FinTech statunitense Evolve Bank & Trust.

Gli analisti ritengono che si sia trattato di un errore commesso forse da chi ha redatto il testo del post. L’ipotesi è che sia stato scritto da un affiliato evidentemente non di madre lingua inglese il quale, avendo trovato il nome della Federal Reserve in alcuni documenti, le abbia associato l’intero breach. La rettifica non ha comunque ridimensionato di troppo la portata dell’evento.

Evolve Bank & Trust ha dato conferma dell’incidente e ha riconosciuto un possibile impatto su nomi, numeri di previdenza sociale, numeri di conto bancario e informazioni di contatto della maggior parte dei clienti di personal banking e dei clienti dei partner Open Banking. Nel complesso, sarebbero state esposte informazioni di oltre 7 milioni di persone.

Secondo la ricostruzione dei fatti fornita dalla vittima, le informazioni sui clienti sarebbero state scaricate dai database e da un file sharing nelle settimane comprese tra febbraio e maggio 2024. Inoltre, l’accesso ai dati sarebbe avvenuto inducendo un dipendente dell’istituto finanziario a cliccare su un link malevolo. Infine, il leak sarebbe stato disposto a causa del mancato pagamento del riscatto.

Nei primi giorni di luglio sono emerse alcune conseguenze della compromissione iniziale. In particolare, sono risultati esposti i dati delle carte di credito dei clienti della società di prestiti Affirm, che si avvale della collaborazione di Evolve per l’emissione della Affirm Card. In aggiunta, l’ex partner Wise, che fornisce servizi di money transfer, ha confermato il potenziale coinvolgimento delle informazioni personali di alcuni clienti.

Le ulteriori preoccupazioni degli analisti derivano proprio dal posizionamento della Evolve Bank & Trust. La compagnia – specializzata in servizi bancari al dettaglio e commerciali, nell’elaborazione dei pagamenti e nelle attività di Banking-as-a-Service – ha infatti all’attivo partnership con altre FinTech come Shopify, Bilt, Plaid, Stripe e Mercury e non si escludono ulteriori future conseguenze.

Nel frattempo, LockBit Team ha continuato a rivendicare attacchi. Degli oltre trenta post comparsi a luglio sul suo sito dei leak, la maggior parte riguarda realtà dei servizi professionali.

Focus On è una serie di approfondimenti su temi e dati analizzati dal team di esperti del Cyber Intelligence Operations Center di TS-Way.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Le attività del Centro sono finalizzate a produrre informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici, che consentono alle organizzazioni di valutare gli scenari di rischio, e a fornire assistenza in caso di incidente informatico.