Furti, estorsioni e furti d'identità sono diffusi online, con migliaia di persone vittime di varie truffe e attacchi ogni mese. Uno di questi metodi di attacco utilizza un tipo di ransomware chiamato LockBit 3.0. Allora da dove viene questo ransomware, come viene utilizzato e cosa puoi fare per proteggerti?
Da dove viene LockBit 3.0?
Lockbit 3.0
LockBit 3.0 (noto anche come LockBit Black) è una famiglia di ransomware nata dalla famiglia di ransomware LockBit. Si tratta di un gruppo di programmi ransomware scoperti per la prima volta nel settembre 2019, dopo la prima ondata di attacchi. Inizialmente LockBit si chiamava "virus .abcd", ma all'epoca non si sapeva che i creatori e gli utenti di LockBit avrebbero continuato a creare nuove versioni del programma ransomware originale.
La famiglia di ransomware LockBit si diffonde, ma vengono prese di mira solo alcune vittime, soprattutto quelle che possono permettersi di pagare un riscatto ingente. Coloro che utilizzano il ransomware LockBit spesso acquistano l'accesso RDP (Remote Desktop Protocol) sul dark web in modo da poter accedere ai dispositivi delle vittime in modo più remoto e semplice.
Gli operatori di LockBit hanno preso di mira diverse organizzazioni in tutto il mondo sin dal suo primo utilizzo, tra cui Regno Unito, Stati Uniti, Ucraina e Francia. Questa famiglia di programmi dannosi utilizza un modello Ransomware-as-a-Service (RaaS), in cui gli utenti possono pagare gli operatori per ottenere l'accesso a un determinato tipo di ransomware. Questo di solito comporta una qualche forma di registrazione. A volte, gli utenti possono anche controllare le statistiche per vedere se l'uso del ransomware LockBit ha avuto successo o meno.
È stato solo nel 2021 che LockBit è diventato un ransomware popolare, attraverso LockBit 2.0 (il predecessore dell'attuale varietà di ransomware). A questo punto, le bande che utilizzano questo ransomware hanno deciso di adottare un modello a doppia estorsione. Ciò comporta sia la crittografia che l'esfiltrazione (o il trasferimento) dei file della vittima su un altro dispositivo. Questo ulteriore metodo di attacco rende l’intera situazione più spaventosa per l’individuo o l’organizzazione presa di mira.
Il tipo più recente di ransomware LockBit identificato è LockBit 3.0. Allora come funziona LockBit 3.0 e come viene utilizzato oggi?
Cos'è LockBit 3.0?
LockBit 3.0 può crittografare ed esfiltrare tutti i file sul dispositivo infetto
Nella tarda primavera del 2022 è stata scoperta una nuova versione del gruppo ransomware LockBit: LockBit 3.0. Essendo un programma ransomware, LockBit 3.0 può crittografare ed esfiltrare tutti i file su un dispositivo infetto, consentendo agli aggressori di tenere in ostaggio i dati della vittima fino al pagamento del riscatto richiesto. Questo ransomware è attualmente dilagante e causa molta preoccupazione.
Il flusso di un tipico attacco LockBit 3.0 è:
1. LockBit 3.0 infetta il dispositivo della vittima, crittografa i file e allega l'estensione del file crittografato "HLjkNskOq".
2. Quindi, per eseguire la crittografia è necessaria una chiave di argomento della riga di comando denominata "-pass" .
3. LockBit 3.0 crea molti thread diversi per eseguire più attività contemporaneamente, in modo che la crittografia dei dati possa essere completata in meno tempo.
4. LockBit 3.0 rimuove alcuni servizi o funzionalità per rendere molto più semplice il processo di crittografia e filtraggio.
5. Viene utilizzata un'API per contenere l'accesso al database del gestore controllo servizi.
6. Lo sfondo del computer della vittima viene modificato in modo che sappiano che stanno per essere attaccati.
Se le vittime non pagano il riscatto entro il periodo di tempo consentito, gli aggressori di LockBit 3.0 venderanno i dati rubati nel dark web ad altri criminali informatici. Ciò può essere disastroso sia per la vittima che per l’organizzazione.
Al momento in cui scrivo, LockBit 3.0 sfrutta in particolare Windows Defender per distribuire Cobalt Strike . Questo software può anche causare una catena di infezioni da malware su più dispositivi.
Durante questo processo, viene sfruttato lo strumento da riga di comando MpCmdRun.exe in modo che l'aggressore possa decrittografare e lanciare avvisi. Questo viene fatto inducendo il sistema a dare priorità e caricare una DLL dannosa (Dynamic-Link Library).
Il file eseguibile MpCmdRun.exe viene utilizzato da Windows Defender per cercare malware, proteggendo così il dispositivo da file e programmi dannosi. Cobalt Strike può aggirare le misure di sicurezza di Windows Defender, quindi è diventato molto utile per gli aggressori di ransomware.
Questa tecnica è nota anche come sideloading e consente ai malintenzionati di rubare dati dai dispositivi infetti.
Come prevenire il ransomware LockBit 3.0?
LockBit 3.0 è una preoccupazione crescente, soprattutto tra le grandi organizzazioni con molti dati che possono essere crittografati ed esfiltrati. È importante assicurarsi di evitare questo tipo di attacco pericoloso.
Per fare ciò, dovresti prima assicurarti di utilizzare password super complesse e autenticazione a due fattori su tutti i tuoi account. Questo ulteriore livello di sicurezza può rendere più difficile per i criminali informatici attaccarti con ransomware. Consideriamo ad esempio gli attacchi ransomware Remote Desktop Protocol. In tal caso, l'aggressore eseguirà la scansione di Internet alla ricerca di connessioni RDP vulnerabili. Pertanto, se la tua connessione è protetta da password e utilizza 2FA, è molto meno probabile che tu venga preso di mira.
Inoltre, dovresti sempre mantenere aggiornati il sistema operativo e il programma antivirus del tuo dispositivo. Gli aggiornamenti software possono richiedere molto tempo e risultare fastidiosi, ma c'è un motivo per cui esistono. Tali aggiornamenti spesso includono correzioni di bug e funzionalità di sicurezza aggiuntive per proteggere il tuo dispositivo e i tuoi dati, quindi non perdere l'opportunità di aggiornare il tuo dispositivo.
Un'altra misura importante da adottare per evitare attacchi ransomware è eseguire il backup dei file. A volte gli aggressori di ransomware trattengono informazioni importanti di cui hai bisogno per vari motivi, quindi avere un backup mitigherà in una certa misura il danno. Le copie offline, come quelle archiviate su chiavette USB, possono essere preziose quando i dati vengono rubati o eliminati dal dispositivo.
Misure dopo essere stati infettati da un ransomware
Anche se i suggerimenti di cui sopra possono proteggerti dal ransomware LockBit, è comunque possibile infettarlo. Quindi, se scopri che il tuo computer è stato infettato dal virus LockBit 3.0, è importante non agire frettolosamente. Esistono passaggi che puoi eseguire per rimuovere il ransomware dal tuo dispositivo che dovresti seguire attentamente.
Dovresti anche avvisare le autorità se sei vittima di un attacco ransomware. Ciò aiuta le parti interessate a comprendere e affrontare meglio determinati tipi di ransomware.
Nessuno sa quante altre volte il ransomware LockBit 3.0 verrà utilizzato per minacciare e sfruttare le vittime. Ecco perché è importante proteggere i tuoi dispositivi e i tuoi account in ogni modo possibile affinché i tuoi dati sensibili rimangano al sicuro.
Windows Hello è una nuova funzionalità comoda e utile integrata da Microsoft in Windows 10 con la capacità di riconoscere i volti degli utenti, supportare la sicurezza e supportare un accesso più rapido quando si utilizza il sistema operativo.
Windows Firewall è integrato nel sistema operativo Windows ed è una parte importante del sistema di sicurezza. Tuttavia, nel tempo, sempre più applicazioni vengono approvate sul Firewall. Tuttavia, fortunatamente puoi ancora ripristinare Windows Firewall alle impostazioni predefinite originali.
Microsoft Defender è la soluzione di sicurezza predefinita di Microsoft per Windows 10 e 11. D'altra parte, Bitdefender è uno dei migliori programmi di sicurezza disponibile per Windows, macOS, iOS e Android.
Se vuoi davvero eliminare tutta la cronologia dei file recenti in Windows, questa guida fornirà alcune opzioni!
Eliminare la cartella nascosta $Windows.~BT e recuperare gigabyte di spazio sul disco rigido è allettante. Ma a cosa serve questa cartella dal nome confuso e quanto è importante per l'installazione di Windows?
Il Cestino è il luogo in cui archivi i file e le cartelle temporanei che hai eliminato accidentalmente. Tuttavia, per ripulire i file non necessari, dovrai fare un ulteriore passaggio: svuotare il Cestino. Invece di sprecare tanti passaggi, puoi impostare lo svuotamento automatico del Cestino ogni volta che accendi il tuo computer Windows 10.
Se non conosci i Chromebook o hai appena acquistato un Chromebook ma non sai come utilizzarlo al meglio, dai un'occhiata ai 20 suggerimenti di seguito per rendere la tua esperienza con il Chromebook più fluida.
EternalRocks è un malware più pericoloso di WannaCry, sfrutta fino a 7 vulnerabilità della NSA e opera nascosto sui computer.
Se hai una scheda grafica Intel installata sul tuo computer Windows, puoi ottimizzare i giochi in modo che funzionino senza problemi con pochi clic. Tutto quello che devi fare è aggiungerli al Centro comandi della grafica Intel e il programma si occuperà del resto.
Ti sei mai chiesto se Windows 11 o Windows 10 continua a scaricare file anche quando il tuo PC entra in modalità di sospensione?
