La creazione di ransomware è diventata un’industria sotterranea da ormai qualche tempo, con servizi di assistenza tecnica, servizi di centri stampa e campagne pubblicitarie. Come per qualsiasi altro settore, creare un prodotto competitivo richiede un miglioramento continuo. LockBit, per esempio, è l’ultimo di una serie di gruppi di criminali informatici che pubblicizzano la capacità di automatizzare l’infezione dei computer locali attraverso un controller di dominio.
LockBit segue il modello Ransomware as a Service (RaaS), fornendo ai suoi clienti (i cybercriminali) l’infrastruttura e il malware, e ricevendo una quota del riscatto. Irrompere nella rete della vittima è responsabilità di chi acquista il servizio e, per quanto riguarda la distribuzione del ransomware attraverso la rete, LockBit ha progettato una tecnologia abbastanza interessante.
La distribuzione di LockBit 2.0
Da quanto riferisce Bleeping Computer, dopo aver ottenuto l’accesso alla rete ad aver raggiunto il controller di dominio, i cybercriminali eseguono il loro malware sullo stesso, creando nuovi criteri di gruppo utenti, che vengono poi automaticamente distribuiti ad ogni dispositivo della rete. I criteri innanzitutto disabilitano la tecnologia di sicurezza integrata nel sistema operativo; altre policy invece, creano una task programmata su tutti i dispositivi Windows per avviare l’eseguibile del ransomware.
Bleeping Computer menziona il ricercatore Vitali Kremez, secondo il quale il ransomware utilizza l’API di Windows Active Directory per eseguire query LDAP (Lightweight Directory Access Protocol) e ottenere un elenco di computer. LockBit 2.0 quindi bypassa il controllo dell’account utente (UAC) e viene eseguito silenziosamente, senza innescare alcun allarme sul dispositivo cifrato.
Apparentemente, questo rappresenta la prima diffusione in assoluto di un malware di massa attraverso i criteri di gruppo utenti. Inoltre, LockBit 2.0 consegna le note di riscatto in modo piuttosto bizzarro, facendo passare la nota su tutte le stampanti collegate alla rete.
Come proteggere la vostra azienda da minacce simili?
Tenete a mente che un controller di dominio è in realtà un server Windows e, come tale, ha bisogno di protezione. Kaspersky Security for Windows Server, che viene offerto con la maggior parte delle nostre soluzioni di sicurezza endpoint per aziende e protegge i server su cui si esegue Windows dalla maggior parte delle minacce moderne, dovrebbe far parte del vostro arsenale di difesa.
Ad ogni modo, il ransomware che si diffonde attraverso i criteri di gruppo rappresenta l’ultima fase di un attacco. L’attività dannosa dovrebbe diventare evidente molto prima, per esempio quando i criminali informatici entrano per la prima volta nella rete o tentano di hackerare il controller di dominio. Le soluzioni Managed Detection and Response sono particolarmente efficaci nel rilevare segnali di questo tipo di attacco.
L’aspetto più importante è che i cybercriminali spesso usano tecniche di ingegneria sociale ed e-mail di phishing per ottenere l’accesso iniziale. Per evitare che i vostri dipendenti cadano in questi trucchi, fate sì che abbiano una maggiore consapevolezza della sicurezza informatica mediante la frequentazione di formazioni periodiche.