Non c’è giorno che passa in cui non si parli di attacchi infomatici e in particolar modo di attacchi ransomware. Tempo fa avevamo condiviso il triste primato italiano di Maggio come paese con il maggior numero di attacchi informatici ransomware e malware in Europa.
Il ransomware LockBit è attualmente una delle minacce più conosciute, attive e dirompenti mai rilevate finora. Come ripetuto e spiegato diverse volte il ransomware, è una tipologia di malware che viene inoculato all’interno di una organizzazione, per poter cifrare i dati e rendere indisponibili i sistemi. Una volta cifrati i dati, i criminali chiedono alla vittima il pagamento di un riscatto, da pagare in criptovalute, per poterli decifrare.
Qualora la vittima non voglia pagare il riscatto, i criminali procederanno con la doppia estorsione, ovvero la minaccia della pubblicazione di dati sensibili precedentemente esfiltrati dalle infrastrutture IT della vittima
LockBit ransomware è un malware progettato per bloccare l’accesso degli utenti ai sistemi informatici in cambio di un pagamento di riscatto. Questo ransomware viene utilizzato per attacchi altamente mirati contro aziende e altre organizzazioni e gli “affiliati” di LockBit, non sono di certo passati innosservati minacciando le organizzazioni di tutto il mondo di ogni ordine e grado.
LockBit è una cyber gang che restite da molto tempo nel mercato delle affiliazioni RaaS rinnovandosi costantemente. Ha iniziato le sue operazioni a settembre 2019 chiamandosi ABCD per poi cambiare il suo nome in Lockbit. Successivamente il marchio è stato rinominato in LockBit 2.0
E da allora è emerso come il ceppo di ransomware più dominante, superando altri noti gruppi come Conti, Hive e BlackCat.
LockBit 2.0 è una cyber gang criminale che adotta il modello ransomware-as-a-service (RaaS), anche se la sua struttura presenta variazioni che la differenziano da un tipico modello di affiliazione.
Si tratta del modello ransomware-as-a-service (RaaS) dove gli affiliati depositano del denaro per l’uso di attacchi personalizzati su commissione e traggono profitto da un quadro di affiliazione. I pagamenti del riscatto sono divisi tra il team di sviluppatori LockBit e gli affiliati attaccanti, che ricevono fino a ¾ dei fondi del riscatto.
Gli attacchi ransomware LockBit sono in continua evoluzione e utilizzano un'ampia gamma di tecniche per infettare gli obiettivi e allo stesso tempo adottano misure per disabilitare le soluzioni di sicurezza degli endpoint.
Gli affiliati che utilizzano i servizi di LockBit conducono i loro attacchi in base alle loro preferenze e utilizzano strumenti e tecniche diversi per raggiungere il loro obiettivi: man mano che l'attacco avanza lungo la kill chain, le attività di casi diversi tendono a convergere verso attività simili.
Spesso tali innovazioni sono così dirompenti che vengono adottate da altre cybergang perché funzionano, e introducono delle novità o altre forme per ottenere il pagamento dei riscatti.
Nei tre anni da quando LockBit è apparso sulla scena, lo schema RaaS ha ricevuto due notevoli aggiornamenti, con gli attori delle minacce che hanno debuttato con LockBit 2.0 nel giugno 2021 e per poi lanciare la terza versione del servizio, LockBit 3.0. (Faac, AgenziaEntrate, Rovagnati)
Infatti, come per una normale organizzazione, Lockbit evolve il proprio “modello di business” innovando in modo continuativo trovando nuovi modi per eludere le difese di sicurezza delle aziende, per aggiornare le proprie infrastrutture e le tecniche, tattiche e procedure (TTPs). Questo è necessario sia per poter rispondere ai propri affiliati, ma anche per essere sempre più pervasivi oltre che a trovare modi non convenzionali per monetizzare quanto più possibile.
Per poter estorcere soldi ad una multinazionale, non puoi fare tutto da solo: hai bisogno di un gruppo. Un gruppo di criminali informatici militarmente organizzati, fedeli e coesi che lavorano insieme, con specializzazioni diverse per un unico scopo: estorcere quanto più denaro possibile dalle organizzazioni.
Come proteggersi da un ransomware
Utilizzare approcci e strumenti moderni (ndr. il classico antivirus non è sufficente!) come lo Zero Trust e la Deception
Dedicare un budget appropriato alla cybersecurity aziendale (ndr. per evitare riscatti da centinaia di migliaria di euro e multe del GDPR)
Formare il personale attraverso corsi di Awareness
