Furti, estorsioni e furti d'identità sono diffusi online, con migliaia di persone vittime di varie truffe e attacchi ogni mese. Uno di questi metodi di attacco utilizza un tipo di ransomware chiamato LockBit 3.0. Allora da dove viene questo ransomware, come viene utilizzato e cosa puoi fare per proteggerti?
Da dove viene LockBit 3.0?
Lockbit 3.0
LockBit 3.0 (noto anche come LockBit Black) è una famiglia di ransomware nata dalla famiglia di ransomware LockBit. Si tratta di un gruppo di programmi ransomware scoperti per la prima volta nel settembre 2019, dopo la prima ondata di attacchi. Inizialmente LockBit si chiamava "virus .abcd", ma all'epoca non si sapeva che i creatori e gli utenti di LockBit avrebbero continuato a creare nuove versioni del programma ransomware originale.
La famiglia di ransomware LockBit si diffonde, ma vengono prese di mira solo alcune vittime, soprattutto quelle che possono permettersi di pagare un riscatto ingente. Coloro che utilizzano il ransomware LockBit spesso acquistano l'accesso RDP (Remote Desktop Protocol) sul dark web in modo da poter accedere ai dispositivi delle vittime in modo più remoto e semplice.
Gli operatori di LockBit hanno preso di mira diverse organizzazioni in tutto il mondo sin dal suo primo utilizzo, tra cui Regno Unito, Stati Uniti, Ucraina e Francia. Questa famiglia di programmi dannosi utilizza un modello Ransomware-as-a-Service (RaaS), in cui gli utenti possono pagare gli operatori per ottenere l'accesso a un determinato tipo di ransomware. Questo di solito comporta una qualche forma di registrazione. A volte, gli utenti possono anche controllare le statistiche per vedere se l'uso del ransomware LockBit ha avuto successo o meno.
È stato solo nel 2021 che LockBit è diventato un ransomware popolare, attraverso LockBit 2.0 (il predecessore dell'attuale varietà di ransomware). A questo punto, le bande che utilizzano questo ransomware hanno deciso di adottare un modello a doppia estorsione. Ciò comporta sia la crittografia che l'esfiltrazione (o il trasferimento) dei file della vittima su un altro dispositivo. Questo ulteriore metodo di attacco rende l’intera situazione più spaventosa per l’individuo o l’organizzazione presa di mira.
Il tipo più recente di ransomware LockBit identificato è LockBit 3.0. Allora come funziona LockBit 3.0 e come viene utilizzato oggi?
Cos'è LockBit 3.0?
LockBit 3.0 può crittografare ed esfiltrare tutti i file sul dispositivo infetto
Nella tarda primavera del 2022 è stata scoperta una nuova versione del gruppo ransomware LockBit: LockBit 3.0. Essendo un programma ransomware, LockBit 3.0 può crittografare ed esfiltrare tutti i file su un dispositivo infetto, consentendo agli aggressori di tenere in ostaggio i dati della vittima fino al pagamento del riscatto richiesto. Questo ransomware è attualmente dilagante e causa molta preoccupazione.
Il flusso di un tipico attacco LockBit 3.0 è:
1. LockBit 3.0 infetta il dispositivo della vittima, crittografa i file e allega l'estensione del file crittografato "HLjkNskOq".
2. Quindi, per eseguire la crittografia è necessaria una chiave di argomento della riga di comando denominata "-pass" .
3. LockBit 3.0 crea molti thread diversi per eseguire più attività contemporaneamente, in modo che la crittografia dei dati possa essere completata in meno tempo.
4. LockBit 3.0 rimuove alcuni servizi o funzionalità per rendere molto più semplice il processo di crittografia e filtraggio.
5. Viene utilizzata un'API per contenere l'accesso al database del gestore controllo servizi.
6. Lo sfondo del computer della vittima viene modificato in modo che sappiano che stanno per essere attaccati.
Se le vittime non pagano il riscatto entro il periodo di tempo consentito, gli aggressori di LockBit 3.0 venderanno i dati rubati nel dark web ad altri criminali informatici. Ciò può essere disastroso sia per la vittima che per l’organizzazione.
Al momento in cui scrivo, LockBit 3.0 sfrutta in particolare Windows Defender per distribuire Cobalt Strike . Questo software può anche causare una catena di infezioni da malware su più dispositivi.
Durante questo processo, viene sfruttato lo strumento da riga di comando MpCmdRun.exe in modo che l'aggressore possa decrittografare e lanciare avvisi. Questo viene fatto inducendo il sistema a dare priorità e caricare una DLL dannosa (Dynamic-Link Library).
Il file eseguibile MpCmdRun.exe viene utilizzato da Windows Defender per cercare malware, proteggendo così il dispositivo da file e programmi dannosi. Cobalt Strike può aggirare le misure di sicurezza di Windows Defender, quindi è diventato molto utile per gli aggressori di ransomware.
Questa tecnica è nota anche come sideloading e consente ai malintenzionati di rubare dati dai dispositivi infetti.
Come prevenire il ransomware LockBit 3.0?
LockBit 3.0 è una preoccupazione crescente, soprattutto tra le grandi organizzazioni con molti dati che possono essere crittografati ed esfiltrati. È importante assicurarsi di evitare questo tipo di attacco pericoloso.
Per fare ciò, dovresti prima assicurarti di utilizzare password super complesse e autenticazione a due fattori su tutti i tuoi account. Questo ulteriore livello di sicurezza può rendere più difficile per i criminali informatici attaccarti con ransomware. Consideriamo ad esempio gli attacchi ransomware Remote Desktop Protocol. In tal caso, l'aggressore eseguirà la scansione di Internet alla ricerca di connessioni RDP vulnerabili. Pertanto, se la tua connessione è protetta da password e utilizza 2FA, è molto meno probabile che tu venga preso di mira.
Inoltre, dovresti sempre mantenere aggiornati il sistema operativo e il programma antivirus del tuo dispositivo. Gli aggiornamenti software possono richiedere molto tempo e risultare fastidiosi, ma c'è un motivo per cui esistono. Tali aggiornamenti spesso includono correzioni di bug e funzionalità di sicurezza aggiuntive per proteggere il tuo dispositivo e i tuoi dati, quindi non perdere l'opportunità di aggiornare il tuo dispositivo.
Un'altra misura importante da adottare per evitare attacchi ransomware è eseguire il backup dei file. A volte gli aggressori di ransomware trattengono informazioni importanti di cui hai bisogno per vari motivi, quindi avere un backup mitigherà in una certa misura il danno. Le copie offline, come quelle archiviate su chiavette USB, possono essere preziose quando i dati vengono rubati o eliminati dal dispositivo.
Misure dopo essere stati infettati da un ransomware
Anche se i suggerimenti di cui sopra possono proteggerti dal ransomware LockBit, è comunque possibile infettarlo. Quindi, se scopri che il tuo computer è stato infettato dal virus LockBit 3.0, è importante non agire frettolosamente. Esistono passaggi che puoi eseguire per rimuovere il ransomware dal tuo dispositivo che dovresti seguire attentamente.
Dovresti anche avvisare le autorità se sei vittima di un attacco ransomware. Ciò aiuta le parti interessate a comprendere e affrontare meglio determinati tipi di ransomware.
Nessuno sa quante altre volte il ransomware LockBit 3.0 verrà utilizzato per minacciare e sfruttare le vittime. Ecco perché è importante proteggere i tuoi dispositivi e i tuoi account in ogni modo possibile affinché i tuoi dati sensibili rimangano al sicuro.
Il modo migliore per rimanere al sicuro quando si utilizza il Wi-Fi pubblico è evitare di fare qualsiasi cosa che possa dare agli hacker ciò che stanno cercando.
La modalità oscura è un'interfaccia con sfondo scuro su Windows 10, che aiuta il computer a risparmiare la carica della batteria e a ridurre l'impatto sugli occhi dell'utente.
Pagare le bollette online è un modo conveniente per rispettare i propri obblighi nei confronti dei fornitori di servizi. Tuttavia, questa opzione comporta alcuni rischi per la sicurezza dei pagamenti.
Ecco gli sfondi Doraemon per smartphone e computer con tanti colori e risoluzioni diversi.
Per impostazione predefinita, quando crei una nuova cartella in Windows 10, la cartella viene automaticamente denominata "Nuova cartella"
Windows non fornisce opzioni facili da trovare o utilizzare per disabilitare il tasto BLOC MAIUSC. Tuttavia, utilizzando software gratuito come AutoHotKey o trucchi del Registro di sistema, puoi disabilitare il tasto BLOC MAIUSC su Windows 10.
Google Fonts è un servizio gratuito di Google. Si tratta della libreria di caratteri gratuita di Google che fornisce agli utenti più di 600 caratteri diversi da utilizzare sui loro siti web. Puoi utilizzare questi caratteri su tutte le applicazioni di Microsoft Office e persino modificarli in software come Photoshop.
Normalmente, sulla schermata del desktop di Windows, verrà visualizzata l'icona del gruppo Home. Tuttavia, lasciare troppe icone delle applicazioni sul desktop può rallentare l'avvio del computer.
Puoi nascondere completamente una rete Wi-Fi o impedire che venga nuovamente visualizzata. Inoltre, puoi anche bloccare tutte le altre reti Wi-Fi, consentendo al tuo computer di visualizzare e connettersi facilmente solo alle reti Wi-Fi che desideri.
Se HandBrake utilizza troppa CPU e rallenta altre attività, ecco un modo semplice per ridurre o limitare l'utilizzo della CPU di HandBrake in Windows.
