LockBit 5.0 in Italia: manifattura, food e healthcare nel mirino

LockBit 5.0 è tornato dopo l’Operazione Cronos con capacità multipiattaforma e tecniche di evasione avanzate. Nel 2026 ha già colpito aziende italiane in più settori.

Nel febbraio 2024, le forze dell’ordine di dieci Paesi hanno condotto un’operazione coordinata che ha portato al sequestro dell’infrastruttura di uno dei gruppi ransomware più pericolosi al mondo. Per molti analisti di sicurezza questa era la fine, ma per altri era solo una pausa. Nei mesi successivi, il gruppo ha continuato a muoversi nell’ombra, riorganizzando i propri ranghi e lavorando a qualcosa di nuovo. A settembre 2025, i suoi affiliati e i suoi membri sono riemersi dall’ombra.

Il ritorno di LockBit
Anatomia di LockBit 5.0
L’Italia nel mirino: i settori più colpiti nel 2026
Come difendersi da LockBit 5.0

LockBit 5.0 in Italia nel 2026: attacchi ransomware a manifattura, food e healthcare

Quello che è emerso non è stato il semplice ritorno di LockBit, ma un sistema di attacco multipiattaforma, capace di colpire simultaneamente ambienti Windows, Linux e VMware ESXi. Oggi, nel 2026, le aziende italiane ne stanno già subendo la portata distruttiva.

Ma come sempre, andiamo con ordine e affrontiamo per gradi l’argomento.

Il ritorno di LockBit

LockBit è uno dei gruppi ransomware-as-a-service più attivi e longevi dell’intero panorama del cybercrime. Operativo dal 2019 sotto il nome di ABCD ransomware, ha cambiato denominazione alla fine di quell’anno e ha progressivamente consolidato la propria posizione fino a diventare, con la versione 3.0 nel 2022, responsabile del 44% di tutti gli attacchi ransomware globali documentati. Il modello è quello classico del RaaS: un nucleo di sviluppatori gestisce il codice e l’infrastruttura, mentre una rete di affiliati conduce le operazioni sul campo, cedendo al gruppo una percentuale dei proventi.

Il 14 febbraio 2024, l’Operazione Cronos ha inflitto al gruppo il colpo più duro della sua storia. Un’operazione coordinata da Europol ed Eurojust, con la partecipazione di autorità di dieci Paesi, ha portato al sequestro di 34 server, al recupero di oltre 1.000 chiavi di decifratura e all’arresto di alcuni affiliati. Nei mesi successivi, il gruppo ha tentato di riorganizzarsi, rilasciando LockBit 4.0 a febbraio 2025. Questa era una versione che introduceva miglioramenti nell’evasione dei sistemi di sicurezza, ma che non è riuscita a riconquistare la posizione dominante del gruppo nel mercato RaaS.

Ma le cose sono cambiate a settembre 2025, quando LockBitSupp ha annunciato sui forum underground RAMP e XSS il rilascio di LockBit 5.0, accompagnato da una riduzione drastica della quota di accesso per i nuovi affiliati, portata a soli 500 dollari in Bitcoin. Il gruppo ha ripreso ad aggiornare il proprio Data Leak Site a dicembre 2025, con le prime sessanta vittime documentate. Tra queste, aziende private, strutture sanitarie, realtà manifatturiere e organizzazioni governative distribuite principalmente negli Stati Uniti, ma con una presenza crescente in Europa. L’Italia ha iniziato a comparire nei log di Ransomfeed a partire dal gennaio 2026.

Anatomia di LockBit 5.0

LockBit 5.0, noto anche come versione ChuongDong, è basato sull’architettura di LockBit 4.0, ma introduce una serie di miglioramenti tecnici che lo rendono molto più difficile da rilevare e contrastare. L’analisi condotta da Trend Micro ThreatLabz, Acronis TRU e LevelBlue SpiderLabs ha permesso di ricostruire in dettaglio il funzionamento del payload su tutti e tre i sistemi operativi supportati.

infografica che mostrale fasi di attacco di LockBit

Architettura multipiattaforma

LockBit 5.0 è distribuito in tre varianti distinte, ognuna ottimizzata per l’ambiente di destinazione: Windows, Linux e VMware ESXi. Le varianti Linux ed ESXi sono strutturalmente simili e prive di packing, ma con tutte le stringhe cifrate. La variante Windows è quella tecnicamente più elaborata, con il maggior numero di meccanismi di evasione. Il supporto esplicito per Proxmox, piattaforma di virtualizzazione open source sempre più diffusa nelle PMI, indica che il focus del gruppo sono proprio gli ambienti enterprise a basso costo. La variante ESXi è progettata per cifrare l’intera infrastruttura virtualizzata con una singola esecuzione del payload, rendendo potenzialmente inutilizzabili decine di macchine virtuali in pochi minuti.

Loader e process hollowing

L’esecuzione del ransomware su Windows avviene attraverso un loader dedicato che non deposita il payload sul disco in forma leggibile. Il loader decifra il ransomware in memoria, quindi lo inietta in un processo legittimo del sistema operativo. La tecnica impiegata è il process hollowing (T1055.012). Il loader avvia defrag.exe, un eseguibile nativo di Windows, in modalità sospesa, alloca memoria all’interno del processo, vi copia il payload del ransomware, aggiorna il contesto del thread per puntare al nuovo entry point e riprende l’esecuzione. In questo modo il ransomware opera sotto le spoglie di un processo di sistema riconoscibile, senza depositare artefatti aggiuntivi sul disco.

Il loader implementa anche la risoluzione dinamica delle API a runtime, analizzando direttamente le export table di ntdll.dll e kernel32.dll dal disco senza passare per la Import Address Table statica. Così facendo, non è rilevabile tramite IAT hooking, una delle tecniche più comuni negli strumenti EDR tradizionali. Per rilevare la presenza di un debugger, il malware utilizza chiamate a CheckRemoteDebuggerPresent e IsDebuggerPresent, entrambe invocate tramite NtQueryInformationProcess con il parametro ProcessDebugPort. In caso di rilevamento, interrompe l’esecuzione.

Cifratura dei dati

Il meccanismo di cifratura di LockBit 5.0 si basa su una combinazione di XChaCha20, una variante estesa di ChaCha20 con nonce a 192 bit, per la cifratura simmetrica dei file e Curve25519 per lo scambio delle chiavi. Se i file bersaglio pesano fino a 80 MB viene adottato uno schema completo, mentre per quelli più grandi viene cifrata solo una porzione iniziale. Questa è sufficiente a rendere il file inutilizzabile, ma abbastanza rapida da completare la cifratura dell’intera rete prima che i sistemi di difesa possano intervenire. A ciascun file viene aggiunta un’estensione randomizzata di 16 caratteri, diversa per ogni singola campagna, che impedisce il rilevamento basato su pattern di estensione.

Evasione e anti-forensics

Per sfuggire al rilevamento in tempo reale e alla successiva analisi forense, LockBit 5.0 implementa una serie di tecniche attive. La prima è il patching dell’EtwEventWrite API, in cui sovrascrive la funzione EtwEventWrite di ntdll.dll con un’istruzione 0xC3 (return), disabilitando di fatto l’Event Tracing di Windows. Successivamente, cancella tutti i log di sistema disponibili tramite l’API EvtClearLog, eliminando le tracce dell’attività precedente alla cifratura.

Il malware include una kill list di servizi e processi da terminare prima di avviare la cifratura, gestita tramite una tabella di hash dei nomi dei processi per evitare stringhe in chiaro nel codice. Tra i bersagli figurano soluzioni EDR, sistemi di backup, processi di database e servizi di virtualizzazione. È presente anche una modalità invisibile che cifra i file senza modificarne l’estensione né il timestamp, con l’obiettivo di confondersi con la normale attività del sistema il più a lungo possibile.

Rispetto alle versioni precedenti, LockBit 5.0 preserva il geolocation check. Il malware verifica le impostazioni di lingua del sistema e la geolocalizzazione, terminando l’esecuzione in presenza di configurazioni riconducibili a Paesi russofoni.

Doppia estorsione e StealBit

Prima di avviare la cifratura, gli affiliati conducono una fase di esfiltrazione dei dati più sensibili tramite StealBit, uno strumento di esfiltrazione proprietario sviluppato dal gruppo. I dati vengono trasferiti su server controllati dagli attaccanti (C2) e utilizzati come leva aggiuntiva nella negoziazione del riscatto. La vittima non si trova solo con i file cifrati, ma subisce anche la minaccia di pubblicazione dei dati sul Data Leak Site del gruppo. Questo schema, noto come doppia estorsione, rende il pagamento del riscatto l’unica via percorribile per molte organizzazioni, anche in presenza di backup funzionanti.

L’Italia nel mirino: i settori colpiti nel 2026

I dati raccolti dalla piattaforma Ransomfeed documentano una serie di attacchi rivendicati da LockBit 5.0 contro aziende italiane a partire dal gennaio 2026. Il profilo delle vittime copre un arco settoriale ampio, con una concentrazione significativa nei comparti produttivi e nei servizi.

15 gennaio: viene colpita un’azienda del settore retail e distribuzione.
7 febbraio: una realtà del settore automotive è vittima di LockBit 5.0.
2 marzo: è documentato un attacco a un’azienda il cui settore non è stato reso pubblico.
4 marzo: sono colpite due organizzazioni, una nel food and drinks e una nella cura della persona.
7 marzo: una seconda azienda nel food and drinks subisce l’attacco ransomware.
9 marzo: tocca a un’azienda nel settore delle costruzioni.
12 marzo: LockBit paralizza un’organizzazione attiva nel settore minerario.
13 marzo: si registrano due attacchi in una sola giornata, uno al settore manifatturiero e uno ai servizi sanitari.

Secondo il Rapporto CLUSIT 2026, in Italia il settore manifatturiero raccoglie il 12,6% degli attacchi totali, con una crescita significativa rispetto all’anno precedente. Il manifatturiero italiano assorbe il 16% degli attacchi globali al settore, un dato che riflette la densità industriale del Paese e la frequente sottovalutazione della cybersecurity nelle PMI produttive. Il food and beverage e l’healthcare completano un quadro in cui LockBit 5.0 si muove con una strategia di targeting opportunistica. Sono state colpite organizzazioni con continuità operativa critica e, storicamente, con strutture di sicurezza informatica meno solide rispetto ai settori finanziario o tecnologico.

Come difendersi da LockBit 5.0

Poiché questa versione di LockBit è progettata per disarmare i sistemi di monitoraggio nelle prime fasi dell’attacco, le difese tradizionali basate su firma non sono sufficienti. Di seguito sono riportate le misure più efficaci, che tengono conto sia della fase iniziale, che quella di movimento laterale e cifratura.

Adottare soluzioni EDR con analisi comportamentale.
Il patching di EtwEventWrite e il process hollowing tramite defrag.exe sono tecniche che gli antivirus basati su firma non rilevano. Le piattaforme EDR e XDR che analizzano il comportamento dei processi in tempo reale, come le anomalie nell’allocazione di memoria o nell’accesso ai file, sono in grado di intercettare il payload prima che completi la cifratura.
Isolare e proteggere gli ambienti di virtualizzazione ESXi.
LockBit 5.0 include una variante dedicata agli hypervisor VMware ESXi e Proxmox. Segmentare l’accesso agli host di virtualizzazione, disabilitare i servizi non necessari sulle interfacce di gestione e applicare le patch di sicurezza disponibili riduce drasticamente la superficie di attacco esposta.
Implementare backup offline e verificarne periodicamente il ripristino.
StealBit esfiltrata i dati prima della cifratura, rendendo inutile il pagamento del riscatto per evitare la pubblicazione. Tuttavia, backup offline e non connessi alla rete aziendale rimangono l’unica contromisura efficace contro la cifratura. La verifica periodica del ripristino è essenziale: un backup non testato non è un backup.
Applicare il principio del privilegio minimo e proteggere Active Directory.
LockBit 5.0 punta ad Active Directory per il movimento laterale. Limitare i privilegi degli account di servizio, monitorare le modifiche ai gruppi privilegiati e implementare il tiering dei privilegi riduce l’impatto di una compromissione iniziale.
Monitorare il traffico verso domini Cloudflare Tunnel non autorizzati.
Come documentato nelle analisi di Acronis TRU, l’infrastruttura C2 di LockBit 5.0 utilizza tunnel Cloudflare per mascherare le comunicazioni. Il monitoraggio delle connessioni verso endpoint .trycloudflare.com non autorizzati può segnalare attività sospette nelle fasi di ricognizione o esfiltrazione.
Formare il personale sulle tecniche di accesso iniziale.
LockBit 5.0 viene distribuito principalmente tramite credenziali compromesse, accessi RDP esposti e campagne di phishing. La formazione continua del personale sulle tecniche di ingegneria sociale è la misura più efficace per interrompere la catena di attacco prima che raggiunga i sistemi critici.

In conclusione

In base a quanto discusso, LockBit 5.0 è la risposta tecnica e organizzativa di un’operazione criminale che ha studiato le proprie debolezze dopo Cronos e le ha corrette. La riduzione della quota affiliati, il supporto multipiattaforma, le tecniche di evasione attiva e la ripresa delle operazioni in Europa, raccontano un gruppo che ha utilizzato il periodo di disruption per migliorarsi, non per scomparire.

Per le aziende italiane, in particolare quelle manifatturiere, alimentari e sanitarie che compaiono già nella lista delle vittime del 2026, il messaggio è diretto. LockBit 5.0 non cerca vulnerabilità esotiche: sfrutta accessi RDP esposti, credenziali deboli e ambienti di virtualizzazione non aggiornati.

Autore articolo
Gli ultimi articoli

Aldo Vernaglione

Classe 1993, ingegnere gestionale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.