Definizione di LockBit
Il ransomware LockBit è un software dannoso progettato per bloccare l'accesso degli utenti a sistemi informatici in cambio del pagamento di un riscatto. LockBit andrà automaticamente in cerca di obiettivi di valore, diffonderà l'infezione e cripterà tutti i sistemi informatici accessibili in una rete. Questo ransomware viene utilizzato per attacchi altamente mirati contro le aziende e altre organizzazioni. In qualità di cyberattacco autopilotato, LockBit ha lasciato il segno sfidando le organizzazioni a livello globale con alcune delle minacce seguenti:
- Interruzione delle operazioni tramite l'arresto improvviso di funzioni essenziali.
- Estorsione per assicurare profitti finanziari all'autore dell'attacco.
- Furto di dati e pubblicazione illegale come forma di ricatto se la vittima non acconsente.
Che cos'è il ransomware LockBit?
LockBit è un nuovo attacco ransomware in una lunga serie di cyberattacchi a scopo di estorsione. Precedentemente noto come ransomware "ABCD", si è sviluppato sempre più fino a diventare una minaccia unica tra gli strumenti di estorsione. LockBit è una sottoclasse di ransomware nota come "criptovirus", in quanto crea richieste di riscatto per il pagamento finanziario in cambio del decriptaggio. Il ransomware mira a colpire principalmente aziende e organizzazioni anziché gli individui.
Gli attacchi tramite LockBit hanno avuto inizio a settembre 2019, quando sono stati soprannominati "virus abcd". Il soprannome si riferisce all'estensione di file utilizzata per il criptaggio dei file della vittima. I più famosi obiettivi passati includono organizzazioni in Stati Uniti, Cina, India, Indonesia e Ucraina. Inoltre, si sono registrati attacchi anche in diversi paesi europei (Francia, Regno Unito, Germania).
Gli obiettivi più esposti sono i soggetti che si sentono talmente danneggiati dall'interruzione dei propri sistemi da pagare una forte somma e che dispongono dei fondi necessari. Per questo motivo, vengono compiuti attacchi estesi contro aziende di grandi dimensioni, dal settore sanitario agli istituti finanziari. Nel suo processo di controllo automatizzato, sembra anche evitare intenzionalmente di attaccare sistemi locali in Russia o in altri paesi all'interno della Comunità degli Stati Indipendenti. Presumibilmente, lo scopo è evitare azioni penali in tali aree.
LockBit funziona come Ransomware-as-a-Service (RaaS, ransomware distribuito come un servizio). Le parti coinvolte depositano una somma da utilizzare per attacchi su commissione personalizzati e ottengono profitti attraverso una rete di affiliati. I pagamenti dei riscatti vengono divisi tra il team di sviluppatori di LockBit e gli autori dell'attacco affiliati, che ricevono fino a ¾ dei fondi di riscatto.
Come funziona il ransomware LockBit?
Il ransomware LockBit è considerato da molte autorità parte della famiglia di malware "LockerGoga e MegaCortex". Questo significa semplicemente che condivide i comportamenti con queste forme consolidate di ransomware mirato. In breve, sappiamo che questi attacchi hanno le caratteristiche seguenti:
- Diffusione automatica all'interno di un'organizzazione, senza intervento manuale.
- Attacchi mirati al posto di una diffusione disordinata, come il malware spam.
- Utilizzo di strumenti simili per la diffusione, come Windows Powershell e SMB (Server Message Block).
L'aspetto più significativo è la capacità di autopropagarsi, ovvero di diffondersi in modo autonomo. Per quanto riguarda la programmazione, LockBit è basato su processi automatizzati pre-progettati. Questa caratteristica lo rende unico rispetto a molti altri attacchi ransomware, che risiedono manualmente nelle rete, a volte per più settimane, per completare la ricognizione e la sorveglianza.
Dopo che l'attacco ha infettato manualmente un singolo host, può trovare altri host accessibili, connetterli a quelli infetti e condividere l'infezione tramite uno script. Questo processo viene completato e ripetuto interamente senza l'intervento umano.
Inoltre, utilizza strumenti basati su modelli nativi di quasi tutti i sistemi informatici Windows. I sistemi di sicurezza degli endpoint hanno difficoltà a segnalare le attività dannose. Viene anche nascosto un file di criptaggio eseguibile, mascherato da file immagine PNG comune, raggirando ulteriormente le misure di difesa del sistema.
Fasi degli attacchi LockBit
Gli attacchi LockBit possono essere suddivisi praticamente in tre fasi:
- Exploit
- Infiltrazione
- Implementazione
Fase 1: exploit dei punti deboli di una rete. La violazione iniziale assomiglia molto ad altri attacchi dannosi. L'exploit di un'organizzazione può avvenire tramite tattiche di social engineering come il phishing, in cui gli autori degli attacchi si spacciano per autorità o personale fidato per richiedere le credenziali di accesso. Altrettanto praticabile è l'uso di attacchi di forza bruta nei server Intranet e nei sistemi di rete di un'organizzazione. Senza una corretta configurazione di rete, il completamento dei controlli per l'attacco può richiedere pochi giorni.
Quando LockBit riesce a penetrare nella rete, il ransomware prepara il sistema per rilasciare il payload di criptaggio su ogni dispositivo possibile. Tuttavia, l'autore dell'attacco può dover verificare che vengano completati alcuni passaggi aggiuntivi prima di poter effettuare la mossa finale.
Fase 2: infiltrazione più a fondo per completare la configurazione dell'attacco, se necessario. Da qui in avanti, il programma LockBit dirige tutte le attività in modo indipendente. È programmato per utilizzare strumenti noti come di "post-exploit" per ottenere privilegi di escalation per raggiungere un livello di accesso che consenta l'attacco. Si insinua inoltre attraverso i punti di accesso già disponibili tramite movimenti laterali per verificare la fattibilità di colpire l'obiettivo.
È in questa fase che LockBit intraprenderà tutte le azioni di preparazione prima di distribuire la parte di criptaggio del ransomware. È inclusa la disabilitazione dei programmi di sicurezza e di qualsiasi altra infrastruttura che potrebbe consentire il ripristino del sistema.
L'obiettivo dell'infiltrazione consiste nel rendere impossibile un ripristino automatico o di rallentarlo a sufficienza perché l'unica soluzione pratica sia quella di arrendersi al pagamento del riscatto. Una vittima che vuole disperatamente ripristinare il normale funzionamento del sistema è disposta a pagare il riscatto.
Fase 3: deployment del payload di criptaggio. Una volta preparata la rete per la mobilitazione completa di LockBit, il ransomware avvia la propagazione in qualsiasi computer che è in grado di raggiungere. Come indicato in precedenza, LockBit non ha bisogno di granché per completare questa fase. Una singola unità del sistema con accesso elevato può inviare comandi ad altre unità di rete per il download e l'esecuzione di LockBit.
La parte di criptaggio pone un "blocco" su tutti i file di sistema. Le vittime possono sbloccare i propri sistemi solo tramite una chiave personalizzata creata dallo strumento di decriptaggio proprietario di LockBit. Il processo lascia anche copie di un semplice file di testo contenente la richiesta di riscatto in ogni cartella del sistema. Il file fornisce alla vittima le istruzioni per ripristinare il sistema e in alcune versioni di LockBit include anche un ricatto intimidatorio.
Una volta completate tutte le fasi, la mossa successiva viene lasciata alla vittima. La vittima può decidere di contattare il supporto di LockBit e pagare il riscatto. Tuttavia, non è consigliabile soddisfarne le richieste. Le vittime non hanno alcuna garanzia che gli autori dell'attacco manterranno la propria parte dell'accordo.
Tipi di minacce LockBit
In quanto attacco ransomware più recente, la minaccia LockBit può essere motivo di forte preoccupazione. Non possiamo escludere la possibilità che riesca a prendere piede in molti settori e organizzazioni, in particolare con la recente diffusione del lavoro da remoto. L'individuazione delle varianti di LockBit può essere utile per determinare esattamente con cosa abbiamo a che fare.
Variante 1: estensione abcd
La versione originale di LockBit rinomina i file con l'estensione ".abcd". Inoltre, include una richiesta di riscatto con rivendicazioni e istruzioni per il presunto ripristino nel file "Restore-My-Files.txt", inserito in ogni cartella.
Variante 2: estensione LockBit
La seconda versione nota di questo ransomware ha adottato l'estensione ".LockBit", termine da cui prende il nome. Tuttavia, le vittime noteranno che altre caratteristiche di questa versione sono praticamente identiche, nonostante alcune modifiche al back-end.
Variante 3: LockBit versione 2
La successiva versione identificabile di LockBit non richiede più il download del browser Tor nelle istruzioni per il riscatto. Indirizza invece le vittime a un sito Web alternativo tramite l'accesso a Internet tradizionale.
Aggiornamenti e revisioni in corso di LockBit
Di recente, LockBit è stato migliorato con funzionalità ancora più nefaste, tra cui l'annullamento dei punti di controllo delle autorizzazioni amministrative. LockBit disabilita ora gli avvisi di sicurezza visualizzati agli utenti quando un'applicazione tenta l'esecuzione come amministratore.
Inoltre, il malware è ora configurato in modo da rubare copie dei dati del server e include ricatti aggiuntivi nella richiesta di riscatto. Nel caso in cui la vittima non segua le istruzioni, LockBit minaccia ora la divulgazione pubblica dei dati privati della vittima.
Rimozione e decriptaggio di LockBit
Se l'organizzazione è già infetta, la semplice rimozione del ransomware LockBit non consente comunque di accedere ai propri file. Sarà comunque necessario uno strumento per ripristinare il sistema, in quanto il decriptaggio richiede una "chiave" per lo sblocco. In alternativa, può essere possibile ripristinare i sistemi tramite l'implementazione di nuove immagini se esistono immagini di backup precedenti all'infezione già create.
Come proteggersi dal ransomware LockBit
In definitiva, è necessario configurare misure di protezione per garantire che l'organizzazione sia resiliente a eventuali attacchi dannosi o ransomware sin dall'inizio. Ecco alcune procedure che possono essere utili per la preparazione:
- Implementazione di password complesse. Molte violazioni degli account si verificano a causa di password facili da indovinare o sufficientemente semplici da rilevare da parte di uno strumento basato su algoritmo in pochi giorni di analisi. Assicuratevi di scegliere password sicure, ad esempio password più lunghe con variazioni di carattere, e di usare regole automatiche per la creazione di passphrase.
- Attivazione dell'autenticazione a più fattori. Prevenite attacchi di forza bruta aggiungendo più livelli agli accessi basati su password iniziali. Aggiungete misure come la biometrica o forme di autenticazione tramite chiavetta USB fisica in tutti i sistemi, se possibile.
- Rivalutazione e semplificazione delle autorizzazioni degli account utente. Limitate le autorizzazioni a livelli più rigorosi per impedire alle potenziali minacce di passare inosservate. Prestate particolare attenzione all'accesso di utenti di endpoint e account IT con autorizzazioni a livello di amministratore. I domini Web, le piattaforme di collaborazione, i servizi per riunioni Web e i database aziendali devono essere tutti protetti.
- Eliminazione degli account utente obsoleti e inutilizzati. Alcuni sistemi meno recenti possono includere account di vecchi dipendenti che non sono mai stati disattivati e chiusi. Il completamento di un check-up dei sistemi deve includere la rimozione di questi potenziali punti deboli.
- Verifica dell'applicazione di tutte le procedure di sicurezza alle configurazioni di sistema. Questa operazione può richiedere tempo, ma la revisione delle configurazioni esistenti può rivelare nuovi problemi e criteri non aggiornati che pongono l'organizzazione a rischio di attacco. Le procedure operative standard devono essere rivalutate periodicamente per mantenere i sistemi aggiornati contro le nuove minacce informatiche.
- Preparazione preventiva di backup a livello di sistema e di immagini dei computer locali. Gli eventi imprevisti capitano e l'unica vera misura di protezione contro la perdita permanente dei dati è una copia offline. L'organizzazione deve creare periodicamente backup per tenere il passo con tutte le modifiche importanti apportate ai sistemi. Se un backup viene colpito da un'infezione da malware, valutate se predisporre più punti di backup a rotazione per poter scegliere un backup temporizzato privo di errori.
Articoli correlati: