Cos’è LockBit Ransomware e come funziona?

Prima di iniziare ad analizzare nel dettaglio questo programma malevolo, ci teniamo a sottolineare che uno dei modi migliori per difendersi da tale attacco è fare uso di una VPN mentre si naviga online. In questo modo la propria navigazione sarà al sicuro in quanto crittografata e i malintenzionati non saranno in grado di risalire ai dati personali dell’utente.

Cos’è Lockbit Ransomware?

Recentemente è stato rilevato un nuovo attacco di tipo ransomware già presente in una lunga serie di attacchi di cyber-estorsione. Tale malware è chiamato LockBit.

Poiché basa le sue richieste di riscatto su un pagamento monetario in cambio della decrittazione, LockBit è un tipo di ransomware noto come “crypto-virus” e, al posto di singoli individui, prende principalmente di mira imprese e istituzioni governative.

Gli attacchi LockBit sono iniziati a settembre 2019, quando era noto come “virus .abcd”. Il soprannome si riferiva al nome dell’estensione di file utilizzata per crittografare i dati di una vittima. Le organizzazioni negli Stati Uniti, in Cina, in India, in Indonesia e in Ucraina sono esempi di notevoli obiettivi colpiti da tale malware. Inoltre, ci sono stati attacchi in diverse nazioni europee, tra cui Francia, Regno Unito e Germania.

Le organizzazioni più suscettibili all’interruzione delle operazioni che l’attacco comporta e che sono in possesso dei soldi per pagare il riscatto sono gli obiettivi più favoriti. Di conseguenza, ciò potrebbe portare ad attacchi diffusi contro le principali aziende, comprese le istituzioni sanitarie e finanziarie.

Sembra, inoltre, che i malintenzionati dietro a questo malware evitino di proposito, durante la loro procedura di controllo automatizzato, di prendere di mira i sistemi locali della Russia o di qualsiasi altra nazione appartenente al Commonwealth degli Stati Indipendenti. Questo probabilmente viene fatto per impedire una possibile azione penale in tali luoghi.

LockBit svolge il ruolo di ransomware as a service (RaaS). Quando si utilizzano attacchi a noleggio su misura, le parti disponibili effettuano un deposito e guadagnano denaro attraverso un programma di affiliazione. Il team di sviluppo di LockBit può ricevere fino a ¾ del riscatto e anche i malintenzionati affiliati ne ricevono una parte.

Cos’è Lockbit 2.0?

LockBit 2.0 è un altro esempio di RaaS che sfrutta le tecniche di doppia estorsione come parte dell’attacco per spingere le vittime al pagamento del riscatto.

In alcuni casi, gli operatori LockBit 2.0 eseguono attacchi DDoS sull’infrastruttura delle vittime e utilizzano un sito di perdita. Questa pratica è nota come tripla estorsione, una tattica osservata in passato in gruppi come BlackCat, Avaddon e SunCrypt.

Come altre famiglie di ransomware, LockBit 2.0 evita i sistemi che utilizzano lingue dell’Europa orientale, inclusi molti scritti con alfabeti cirillici.

A differenza di altri programmi RaaS, che non richiedono agli affiliati di essere super tecnici o esperti, gli operatori LockBit 2.0 presumibilmente funzionano solo con tester di penetrazione esperti, in particolare quelli pratici di strumenti come Metasploit e Cobalt Strike. Gli affiliati hanno il compito di ottenere l’accesso iniziale alla rete della vittima, consentendo a LockBit 2.0 di condurre il resto dell’attacco.

Cos’è Lockbit 3.0?

Alla fine della primavera del 2022 è stata scoperta una nuova iterazione del gruppo di ransomware LockBit: LockBit 3.0. In quanto programma ransomware, LockBit 3.0 può crittografare ed esfiltrare tutti i file su un dispositivo infetto, consentendo al malintenzionato di tenere in ostaggio i dati della vittima fino a quando non verrà pagato il riscatto richiesto. Questo ransomware è ancora oggi attivo sulla rete e sta causando molte preoccupazioni.

Come funziona/si diffonde LockBit ransomware?

Il processo di un tipico attacco LockBit è il seguente:

1. LockBit infetta il dispositivo di una vittima, crittografa i file e aggiunge l’estensione dei file crittografati come “HLjkNskOq”.
2. Per eseguire la crittografia è quindi necessaria una chiave di argomento della riga di comando nota come “-pass”.
3. LockBit crea vari thread per eseguire più attività contemporaneamente, in modo che la crittografia dei dati possa essere completata in meno tempo.
4. LockBit elimina alcuni servizi o funzionalità per rendere il processo di crittografia ed esfiltrazione molto più semplice.
5. Un’API viene utilizzata per ospitare l’accesso al database del gestore di controllo del servizio.
6. Lo sfondo del desktop della vittima viene modificato in modo che sappia di essere sotto attacco.

Se il riscatto non viene pagato dalla vittima nella finestra di tempo richiesta, gli aggressori di LockBit venderanno i dati che hanno rubato ad altri criminali informatici sul dark web. Questo può essere catastrofico sia per una singola vittima che per un’organizzazione.

Attacchi LockBit in Italia

A luglio 2022 si è verificato un attacco hacker all’Agenzia delle Entrate in Italia, che è stato condotto proprio utilizzando il ransomware LockBit. Gli aggressori sono riusciti a violare la rete dell’agenzia e a rubare ben 100 GB di dati (inclusi documenti aziendali, scansioni, rapporti finanziari e contratti).

A seguito di questo evento, l’Agenzia delle Entrate ha condiviso sul suo portale web una dichiarazione ufficiale in cui si informavano i cittadini di un “presunto furto di dati dal sistema informativo fiscale” .

Di recente, inoltre, anche il Comune di Gorizia ha subito un attacco compiuto proprio con l’utilizzo di LockBit 3.0.

Altre note aziende italiane che sono state oggetto di questa tipologia di attacchi sono state Studio Barba e la clinica Don Serafino Ronchi.

Come proteggersi dal ransomware LockBit?

LockBit 3.0 è una preoccupazione crescente, specialmente tra le organizzazioni più grandi che possiedono enormi quantità di dati che possono essere crittografati ed esfiltrati. Per un’organizzazione è quindi importante assicurarsi di stare alla larga da questo pericoloso tipo di attacco.

• Per fare ciò, bisognerebbe prima assicurarsi di utilizzare password super sicure e l’autenticazione a due fattori su tutti i propri account. Questo ulteriore livello di sicurezza può rendere molto più difficile per i criminali informatici avere successo nell’attacco usando il ransomware.
• Un’altra ottima protezione da LockBit è fare uso di una VPN online dotata di Threat Protection, al fine di rendere la navigazione online totalmente sicura e crittografata. Con Threat Protection è infatti possibile bloccare i cookie di tracciamento, in modo da ridurre il rischio di furto di dati, e rilevare il malware prima ancora che venga scaricato, limitando fortemente il rischio di subire un attacco ransomware.
• Inoltre, bisognerebbe sempre mantenere aggiornati i sistemi operativi e i programmi antivirus dei propri dispositivi. Gli aggiornamenti software possono richiedere molto tempo e essere frustranti, ma c’è un motivo per cui esistono. Tali aggiornamenti spesso includono correzioni di bug e funzionalità di sicurezza aggiuntive per proteggere i dispositivi e i dati dell’utente.
• Un’altra misura importante da adottare per non evitare direttamente gli attacchi ransomware ma le loro conseguenze è il backup dei file. A volte gli aggressori ransomware tratterranno le informazioni cruciali di cui si necessita per vari motivi, oppure le operazioni per rimuovere il ransomware potrebbero fallire, quindi avere un backup riduce in una certa misura l’entità del danno.