LockBit: la nuova versione 3.0
Fino a qualche anno fa, quando si parlava di attacco informatico si faceva riferimento al singolo che operava individualmente; con gli anni però la situazione è cambiata: sono iniziate a nascere delle vere e proprie organizzazioni criminali che si sono poi specializzate in diverse tipologie di crimine informatico.
L’obiettivo comune a tutti i gruppi criminali rimane comunque l’esfiltrazione di dati e la richiesta di riscatto, per il mero guadagno economico.
Queste organizzazioni, con il passare degli anni, sono diventate sempre più strutturate e ramificate.
Chi è LockBit e come agisce
Una tra le più famose cyber gang è LockBit, menzionata ultimatamente per svariate violazioni ad aziende italiane, sia private che pubbliche. Il gruppo ha infettato migliaia di dispositivi, tanto da affermarsi come cyber gang d’élite nelle comunità underground.
Negli anni si è evoluta, passando da LockBit a LockBit 3.0 per via delle “migliorie” messo in campo. Prima di raccontare quali sono le novità di LockBit 3.0 facciamo però un veloce excursus sul gruppo criminale. LockBit è il nome del ransomware nato a settembre 2019 che ha come obiettivo quello di compromettere le reti delle vittime, rendendo indisponibili file e documenti presenti nei dispositivi colpiti.
LockBit è anche il nome del gruppo criminale che è diventato famoso, oltre che per sfruttare l’omonimo ransomware, soprattutto per operare in modalità Ransomware as a Service (RaaS), un vero e proprio modello di business che si basa sull’affiliazione, il cui fine è quello dell’estorsione.
I creatori di LockBit “affittano” il ransomware a gruppi affiliati che quindi possono utilizzarlo per compiere i loro attacchi, generando in maniera autonoma anche nuove varianti, selezionando e gestendo le vittime, trattando i riscatti, ottenendo le statistiche e decifrando i file.
Negli anni il metodo di attacco si è affinato tanto da diventare uno dei gruppi criminali più temuti. In particolare, l’attacco avviene più o meno con le stesse modalità:
- Selezione vittima
- Intrusione
- Esfiltrazione
- Esecuzione
- Trattativa
LockBit 3.0: le novità
Nelle ultime settimane si è sentito spesso parlare di LockBit nella sua nuova versione 3.0. Quali sono quindi le novità?
In primis la possibilità da parte di chiunque di segnalare eventuali vulnerabilità del ransomware in cambio di un compenso monetario; si parla di un vero e proprio programma “bug bounty”, cioè di riconoscimenti e ricompense per la segnalazione di bug. In questo modo gli sviluppatori hanno la possibilità di risolvere eventuali falle prima che diventino di dominio pubblico.
Inoltre, la vittima ora può pagare per estendere il countdown per la pubblicazione dei dati, per distruggere le informazioni esfiltrate o per ottenere l’accesso al download esclusivo dei dati in qualsiasi momento.
Infine, cambia anche il metodo di estorsione: la cyber gang infatti mette anche a disposizione la possibilità di pagare i riscatti in criptovaluta Zcash che garantisce privacy e anonimato, rendendo ancora più complesso il tracciamento del pagamento anche rispetto ai Bitcoin.
Come funziona il ransomware
L’intrusione all’interno della rete avviene in maniera variabile a seconda del sistema attaccato. I principali metodi risultano essere:
- Campagne phishing
- Bruteforce su credenziali RDP o VPN
- Vulnerabilità critiche
- Credenziali acquistate/insiders
Una volta ottenuto l’accesso alla rete, LockBit è in grado di propagarsi automaticamente ed attivarsi sfruttando le Group Policy e gli strumenti di red teaming, come Cobalt Strike.
Una delle peculiarità del ransomware è l’efficienza di crittografia: infatti LockBit è in grado di bloccare l’intera rete in pochi minuti, sfruttando il malware StealBit sia per il blocco che per l’esfiltrazione dei dati.
I file vengono criptati in AES sfruttando la funzione BCryptGenRandom per la sua chiave, la quale viene successivamente criptata in RSA.
Il gruppo LockBit, soprattutto con la sua nuova versione, è riuscito a raccogliere informazioni ed imparare dai competitors, implementando al suo interno diverse tecniche già viste in altri ransomware:
- È in grado di visualizzare le stampanti presenti nella rete (sfruttando l’API WinSpool) e stampare le richieste di riscatto, ispirandosi al ransomware Egregor;
- È in grado di verificare se le unità di rete sono pronte e attive per l’esecuzione del ransomware, inviando pacchetti Wake-on-LAN, ispirandosi al ransomware Ryuk;
- La sua esecuzione è protetta da password, come già visto nel popolare ransomware BlackCat;
- Gran parte dei payload sono file Windows PE, elemento caratteristico dei ransomware della famiglia BlackMatter.
Andando più nello specifico, la nuova versione di LockBit, oltre al bug bounty program e al nuovo blog, è anche caratterizzato da una grossa evoluzione nelle tecniche evasive: inizialmente il malware risiede nella heap memory e utilizza salti indiretti per eseguire le funzioni, tuttavia gli indirizzi dei salti vengono offuscati tramite una particolare tecnica basata sull’operatore XOR.
Inoltre, sono state implementate diverse tecniche di rilevazione di debugger.
L’ultima versione è inoltre in grado di agire anche su sistemi Linux, ampliando il numero di target in pericolo.
Fonte: TrendMicro
Come difendersi
Come per tutti gli attacchi ransomware ci sono alcuni accorgimenti che è possibile mettere in pratica per evitare, o almeno mitigare, i danni che un attacco simile può provocare:
- Utilizzare password complesse e cambiarle spesso
- Impostare l’autenticazione a più fattori
- Mantenere aggiornati i sistemi operativi
LockBit, così come gran parte dei gruppi criminali, chiede il pagamento del riscatto per evitare che i dati esfiltrati vengano pubblicati e/o rivenduti. Questa pratica è caldamente sconsigliata perché non solo alimenta un gruppo criminale, ma soprattutto non è garanzia né di esclusività della vendita dei dati nel dark web né di immunità dell’azienda da attacchi futuri.
Inoltre, pagando il riscatto si finanziano ulteriormente le operazioni delle cyber gang che sono incoraggiate a prendere di mira nuove vittime.
Nel caso in cui anche queste accortezze non fossero servite ad evitare l’attacco, è sempre consigliato affidarsi a degli specialisti del settore.
Per qualsiasi chiarimento o in caso di attacco puoi contattarci a sos@cybergon.com, il nostro team opera in modalità 24⁄7.