Se ti tieni regolarmente aggiornato sulle minacce alla sicurezza informatica, probabilmente sai quanto sia diventato pericolosamente diffuso il ransomware . Questo tipo di malware rappresenta una grave minaccia per individui e organizzazioni, con diversi ceppi che stanno diventando la scelta principale per gli autori malintenzionati, incluso LockBit.
Allora, cos'è LockBit, da dove viene e come puoi proteggerti da questo ransomware?
Cos'è LockBit ransomware?
Sebbene LockBit sia iniziato come un'unica famiglia di ransomware, da allora si è evoluto più volte, con l'ultima versione chiamata " LockBit 3.0 ". LockBit include una famiglia di programmi ransomware, che operano utilizzando il modello Ransomware-as-a-Service (RaaS).
Il ransomware-as-a-Service è un modello di business che prevede che gli utenti paghino per accedere a un determinato tipo di ransomware in modo da poterlo utilizzare per i propri attacchi. In questo modo, l'utente diventa un affiliato e il suo pagamento può consistere in una tariffa fissa o in un servizio basato su abbonamento. In breve, i creatori di LockBit hanno trovato un modo per trarre maggiori profitti dal suo utilizzo utilizzando questo modello RaaS e forse anche ottenere un riscatto pagato dalla vittima.
È possibile accedere a diversi altri programmi ransomware tramite il modello RaaS, inclusi DarkSide e REvil. Inoltre, LockBit è uno dei ransomware più popolari in uso oggi.
Dato che LockBit è una famiglia di ransomware, il suo utilizzo prevede la crittografia dei file del bersaglio. I criminali informatici si infiltreranno nel dispositivo della vittima in un modo o nell'altro, magari tramite e-mail di phishing o allegati dannosi, e utilizzeranno quindi LockBit per crittografare tutti i file sul dispositivo rendendoli inaccessibili all'utente.
Una volta crittografati i file della vittima, l'aggressore richiederà un riscatto in cambio della chiave di decrittazione. Se la vittima non si adegua e non paga il riscatto, è probabile che l’aggressore venda i dati sul dark web a scopo di lucro. A seconda di quali dati si tratti, ciò potrebbe causare danni irreversibili alla privacy di un individuo o di un'organizzazione, il che potrebbe aumentare la pressione per pagare il riscatto.
Ma da dove proviene questo ransomware estremamente pericoloso?
Origine del ransomware LockBit
Non si sa esattamente quando sia stato sviluppato LockBit, ma è stato riconosciuto dal 2019, quando è stato trovato per la prima volta. Questa scoperta è arrivata dopo la prima ondata di attacchi LockBit, quando il ransomware era inizialmente chiamato "ABCD" in riferimento ai nomi delle estensioni dei file crittografati sfruttati negli attacchi. Ma quando gli aggressori hanno iniziato a utilizzare l’estensione del file “.lockbit”, il nome del ransomware è cambiato in quello che è oggi.
La popolarità di LockBit è aumentata dopo lo sviluppo della sua seconda versione, LockBit 2.0. Alla fine del 2021, LockBit 2.0 è stato utilizzato sempre più spesso per gli attacchi e, quando altri gruppi di ransomware hanno chiuso i battenti, LockBit è stato in grado di sfruttare la lacuna nel mercato.
Infatti, secondo un rapporto di Palo Alto, la crescente adozione di LockBit 2.0 ha consolidato la sua posizione come "la variante di ransomware più diffusa e di maggiore impatto che abbiamo osservato tra tutte le violazioni di ransomware." Inoltre, Palo Alto ha affermato nello stesso rapporto che gli operatori di LockBit affermano di avere il software di crittografia più veloce di qualsiasi ransomware attualmente attivo.
Il ransomware LockBit è stato rilevato in molti paesi in tutto il mondo, tra cui Cina, Stati Uniti, Francia, Ucraina, Regno Unito e India. Anche diverse grandi organizzazioni sono state prese di mira utilizzando LockBit, tra cui Accenture, una società di servizi professionali irlandese-americana.
Accenture ha subito una violazione dei dati utilizzando LockBit nel 2021, con gli aggressori che hanno chiesto un enorme riscatto di 50 milioni di dollari, con oltre 6 TB di dati crittografati. Accenture non ha accettato di pagare il riscatto, anche se la società ha confermato che nessun cliente è stato colpito dall'attacco.
LockBit 3.0 e i suoi rischi
Con l'aumento della popolarità di LockBit, ogni nuova variante è una vera preoccupazione. L'ultima versione di LockBit, chiamata LockBit 3.0, è diventata un problema, soprattutto nei sistemi operativi Windows.
Nell'estate del 2022, LockBit 3.0 è stato utilizzato per caricare payload dannosi Cobalt Strike su dispositivi mirati tramite exploit Windows Defender. In questa ondata di attacchi, è stato utilizzato in modo improprio un file eseguibile della riga di comando chiamato MpCmdRun.exe in modo che i beacon Cobalt Strike potessero aggirare il rilevamento di sicurezza.
LockBit 3.0 è stato utilizzato anche per sfruttare una riga di comando VMWare chiamata VMwareXferlogs.exe per distribuire ancora una volta il payload Cobalt Strike. Non è noto se questi attacchi continueranno o si evolveranno in qualcosa di completamente diverso.
È chiaro che il ransomware LockBit è ad alto rischio, come nel caso di molti programmi ransomware. Allora come puoi mantenerti al sicuro?
Come proteggersi dal ransomware LockBit
Poiché il ransomware LockBit deve prima essere presente sul tuo dispositivo per crittografare i file, devi innanzitutto prevenire completamente l'infezione. Anche se è difficile garantire la protezione dai ransomware, puoi fare molto.
Innanzitutto, non scaricare mai file o programmi software da siti Web che non sono completamente legali. Il download di qualsiasi tipo di file non verificato sul tuo dispositivo può consentire agli aggressori di ransomware di accedere facilmente ai tuoi file. Assicurati di utilizzare solo siti Web affidabili e ben valutati per i download o app store ufficiali per installare il software.
Un altro fattore da tenere presente è che il ransomware LockBit viene spesso diffuso tramite Remote Desktop Protocol (RDP). Se non usi questa tecnologia, non devi preoccuparti troppo. Tuttavia, se lo fai, è importante proteggere la tua rete RDP utilizzando la protezione tramite password, una VPN e disattivando il protocollo quando non è in uso diretto. Gli operatori di ransomware spesso scansionano Internet alla ricerca di connessioni RDP vulnerabili, quindi l'aggiunta di ulteriori livelli di protezione renderà la tua rete RDP meno vulnerabile agli attacchi.
Il ransomware può essere diffuso anche tramite il phishing , un metodo estremamente comune di infezione e furto di dati utilizzato da soggetti malintenzionati. Il phishing viene comunemente diffuso tramite e-mail, in cui un utente malintenzionato allega un collegamento dannoso al corpo dell'e-mail su cui convincerà la vittima a fare clic. Questo collegamento porterà a un sito Web dannoso che potrebbe facilitare l'infezione da malware.
È possibile evitare il phishing in diversi modi, tra cui l'utilizzo di funzionalità anti-spam, il controllo dei collegamenti ai siti Web e il software antivirus. Dovresti anche verificare l'indirizzo del mittente di ogni nuova email ed eseguire la scansione degli errori di ortografia nell'email (poiché le email di phishing spesso contengono molti errori di ortografia e grammaticali).
LockBit continua a diventare una minaccia globale
LockBit continua a crescere e prende di mira sempre più vittime: questo ransomware non arriverà presto. Per proteggerti da LockBit e dai ransomware in generale, considera alcuni dei suggerimenti sopra riportati. Anche se potresti pensare che non diventerai mai un bersaglio, dovresti comunque prendere le precauzioni necessarie.
Gli smartphone oggi hanno molte nuove funzionalità e sono considerati computer in miniatura, tuttavia non tutto può essere fatto su questo dispositivo. Microsoft lo capisce, quindi con il prossimo Fall Creators Update, la società introdurrà una nuova funzionalità di collegamento da telefono a PC che consentirà agli utenti di lavorare sul telefono e quindi trasferirlo sul sistema Windows 10.
Windows Hello è una nuova funzionalità comoda e utile integrata da Microsoft in Windows 10 con la capacità di riconoscere i volti degli utenti, supportare la sicurezza e supportare un accesso più rapido quando si utilizza il sistema operativo.
Windows Firewall è integrato nel sistema operativo Windows ed è una parte importante del sistema di sicurezza. Tuttavia, nel tempo, sempre più applicazioni vengono approvate sul Firewall. Tuttavia, fortunatamente puoi ancora ripristinare Windows Firewall alle impostazioni predefinite originali.
Microsoft Defender è la soluzione di sicurezza predefinita di Microsoft per Windows 10 e 11. D'altra parte, Bitdefender è uno dei migliori programmi di sicurezza disponibile per Windows, macOS, iOS e Android.
Se vuoi davvero eliminare tutta la cronologia dei file recenti in Windows, questa guida fornirà alcune opzioni!
Eliminare la cartella nascosta $Windows.~BT e recuperare gigabyte di spazio sul disco rigido è allettante. Ma a cosa serve questa cartella dal nome confuso e quanto è importante per l'installazione di Windows?
Il Cestino è il luogo in cui archivi i file e le cartelle temporanei che hai eliminato accidentalmente. Tuttavia, per ripulire i file non necessari, dovrai fare un ulteriore passaggio: svuotare il Cestino. Invece di sprecare tanti passaggi, puoi impostare lo svuotamento automatico del Cestino ogni volta che accendi il tuo computer Windows 10.
Se non conosci i Chromebook o hai appena acquistato un Chromebook ma non sai come utilizzarlo al meglio, dai un'occhiata ai 20 suggerimenti di seguito per rendere la tua esperienza con il Chromebook più fluida.
EternalRocks è un malware più pericoloso di WannaCry, sfrutta fino a 7 vulnerabilità della NSA e opera nascosto sui computer.
Se hai una scheda grafica Intel installata sul tuo computer Windows, puoi ottimizzare i giochi in modo che funzionino senza problemi con pochi clic. Tutto quello che devi fare è aggiungerli al Centro comandi della grafica Intel e il programma si occuperà del resto.
