Tutto quello che devi sapere sulla famiglia di ransomware LockBit

Se ti tieni regolarmente aggiornato sulle minacce alla sicurezza informatica, probabilmente sai quanto sia diventato pericolosamente diffuso il ransomware . Questo tipo di malware rappresenta una grave minaccia per individui e organizzazioni, con diversi ceppi che stanno diventando la scelta principale per gli autori malintenzionati, incluso LockBit.

Allora, cos'è LockBit, da dove viene e come puoi proteggerti da questo ransomware?

Cos'è LockBit ransomware?

Sebbene LockBit sia iniziato come un'unica famiglia di ransomware, da allora si è evoluto più volte, con l'ultima versione chiamata " LockBit 3.0 ". LockBit include una famiglia di programmi ransomware, che operano utilizzando il modello Ransomware-as-a-Service (RaaS).

Il ransomware-as-a-Service è un modello di business che prevede che gli utenti paghino per accedere a un determinato tipo di ransomware in modo da poterlo utilizzare per i propri attacchi. In questo modo, l'utente diventa un affiliato e il suo pagamento può consistere in una tariffa fissa o in un servizio basato su abbonamento. In breve, i creatori di LockBit hanno trovato un modo per trarre maggiori profitti dal suo utilizzo utilizzando questo modello RaaS e forse anche ottenere un riscatto pagato dalla vittima.

È possibile accedere a diversi altri programmi ransomware tramite il modello RaaS, inclusi DarkSide e REvil. Inoltre, LockBit è uno dei ransomware più popolari in uso oggi.

Dato che LockBit è una famiglia di ransomware, il suo utilizzo prevede la crittografia dei file del bersaglio. I criminali informatici si infiltreranno nel dispositivo della vittima in un modo o nell'altro, magari tramite e-mail di phishing o allegati dannosi, e utilizzeranno quindi LockBit per crittografare tutti i file sul dispositivo rendendoli inaccessibili all'utente.

Una volta crittografati i file della vittima, l'aggressore richiederà un riscatto in cambio della chiave di decrittazione. Se la vittima non si adegua e non paga il riscatto, è probabile che l’aggressore venda i dati sul dark web a scopo di lucro. A seconda di quali dati si tratti, ciò potrebbe causare danni irreversibili alla privacy di un individuo o di un'organizzazione, il che potrebbe aumentare la pressione per pagare il riscatto.

Ma da dove proviene questo ransomware estremamente pericoloso?

Origine del ransomware LockBit

Non si sa esattamente quando sia stato sviluppato LockBit, ma è stato riconosciuto dal 2019, quando è stato trovato per la prima volta. Questa scoperta è arrivata dopo la prima ondata di attacchi LockBit, quando il ransomware era inizialmente chiamato "ABCD" in riferimento ai nomi delle estensioni dei file crittografati sfruttati negli attacchi. Ma quando gli aggressori hanno iniziato a utilizzare l’estensione del file “.lockbit”, il nome del ransomware è cambiato in quello che è oggi.

La popolarità di LockBit è aumentata dopo lo sviluppo della sua seconda versione, LockBit 2.0. Alla fine del 2021, LockBit 2.0 è stato utilizzato sempre più spesso per gli attacchi e, quando altri gruppi di ransomware hanno chiuso i battenti, LockBit è stato in grado di sfruttare la lacuna nel mercato.

Infatti, secondo un rapporto di Palo Alto, la crescente adozione di LockBit 2.0 ha consolidato la sua posizione come "la variante di ransomware più diffusa e di maggiore impatto che abbiamo osservato tra tutte le violazioni di ransomware." Inoltre, Palo Alto ha affermato nello stesso rapporto che gli operatori di LockBit affermano di avere il software di crittografia più veloce di qualsiasi ransomware attualmente attivo.

Il ransomware LockBit è stato rilevato in molti paesi in tutto il mondo, tra cui Cina, Stati Uniti, Francia, Ucraina, Regno Unito e India. Anche diverse grandi organizzazioni sono state prese di mira utilizzando LockBit, tra cui Accenture, una società di servizi professionali irlandese-americana.

Accenture ha subito una violazione dei dati utilizzando LockBit nel 2021, con gli aggressori che hanno chiesto un enorme riscatto di 50 milioni di dollari, con oltre 6 TB di dati crittografati. Accenture non ha accettato di pagare il riscatto, anche se la società ha confermato che nessun cliente è stato colpito dall'attacco.

LockBit 3.0 e i suoi rischi

Con l'aumento della popolarità di LockBit, ogni nuova variante è una vera preoccupazione. L'ultima versione di LockBit, chiamata LockBit 3.0, è diventata un problema, soprattutto nei sistemi operativi Windows.

Nell'estate del 2022, LockBit 3.0 è stato utilizzato per caricare payload dannosi Cobalt Strike su dispositivi mirati tramite exploit Windows Defender. In questa ondata di attacchi, è stato utilizzato in modo improprio un file eseguibile della riga di comando chiamato MpCmdRun.exe in modo che i beacon Cobalt Strike potessero aggirare il rilevamento di sicurezza.

LockBit 3.0 è stato utilizzato anche per sfruttare una riga di comando VMWare chiamata VMwareXferlogs.exe per distribuire ancora una volta il payload Cobalt Strike. Non è noto se questi attacchi continueranno o si evolveranno in qualcosa di completamente diverso.

È chiaro che il ransomware LockBit è ad alto rischio, come nel caso di molti programmi ransomware. Allora come puoi mantenerti al sicuro?

Come proteggersi dal ransomware LockBit

Poiché il ransomware LockBit deve prima essere presente sul tuo dispositivo per crittografare i file, devi innanzitutto prevenire completamente l'infezione. Anche se è difficile garantire la protezione dai ransomware, puoi fare molto.

Innanzitutto, non scaricare mai file o programmi software da siti Web che non sono completamente legali. Il download di qualsiasi tipo di file non verificato sul tuo dispositivo può consentire agli aggressori di ransomware di accedere facilmente ai tuoi file. Assicurati di utilizzare solo siti Web affidabili e ben valutati per i download o app store ufficiali per installare il software.

Un altro fattore da tenere presente è che il ransomware LockBit viene spesso diffuso tramite Remote Desktop Protocol (RDP). Se non usi questa tecnologia, non devi preoccuparti troppo. Tuttavia, se lo fai, è importante proteggere la tua rete RDP utilizzando la protezione tramite password, una VPN e disattivando il protocollo quando non è in uso diretto. Gli operatori di ransomware spesso scansionano Internet alla ricerca di connessioni RDP vulnerabili, quindi l'aggiunta di ulteriori livelli di protezione renderà la tua rete RDP meno vulnerabile agli attacchi.

Il ransomware può essere diffuso anche tramite il phishing , un metodo estremamente comune di infezione e furto di dati utilizzato da soggetti malintenzionati. Il phishing viene comunemente diffuso tramite e-mail, in cui un utente malintenzionato allega un collegamento dannoso al corpo dell'e-mail su cui convincerà la vittima a fare clic. Questo collegamento porterà a un sito Web dannoso che potrebbe facilitare l'infezione da malware.

È possibile evitare il phishing in diversi modi, tra cui l'utilizzo di funzionalità anti-spam, il controllo dei collegamenti ai siti Web e il software antivirus. Dovresti anche verificare l'indirizzo del mittente di ogni nuova email ed eseguire la scansione degli errori di ortografia nell'email (poiché le email di phishing spesso contengono molti errori di ortografia e grammaticali).

LockBit continua a diventare una minaccia globale

LockBit continua a crescere e prende di mira sempre più vittime: questo ransomware non arriverà presto. Per proteggerti da LockBit e dai ransomware in generale, considera alcuni dei suggerimenti sopra riportati. Anche se potresti pensare che non diventerai mai un bersaglio, dovresti comunque prendere le precauzioni necessarie.