Lockbit
LockBit è uno dei più grandi gruppi di ransomware-as-a-service al mondo e ha orchestrato attacchi informatici su vasta scala in vari settori, colpendo migliaia di organizzazioni a livello globale con le sue strategie implacabili e adattive.
L'origine di Lockbit
LockBit risale al settembre 2019, quando è stata osservata la prima attività nota del ransomware "ABCD", ampiamente considerato il predecessore di LockBit. Nel gennaio 2020, LockBit ha iniziato ad apparire con il suo nome attuale sui forum di cybercriminalità in lingua russa. Da quel primo punto d'appoggio, è rapidamente diventata una delle famiglie di ransomware più importanti nel panorama della criminalità informatica, adottando un modello Ransomware-as-a-Service (RaaS) che include un sito dedicato alla divulgazione delle informazioni (DLS) e un portale per la negoziazione del riscatto. Gli affiliati si registrano per utilizzare i ransomware builder di LockBit, gestiscono le nuove vittime tramite il DLS e possono anche utilizzare"StealBit", uno strumento per il furto di informazioni integrato nelle versioni successive di LockBit.
Una tappa importante è stata raggiunta nel giugno 2021 con il debutto di LockBit 2.0 (spesso denominato LockBit Red). Sebbene la popolarità e l'impatto di LockBit fossero già in crescita, questa versione ha ampliato notevolmente la visibilità del gruppo. Nell'ottobre 2021 è apparsa la versione 1.0 di LockBit Linux-ESXi Locker, che ha esteso le capacità di targeting di LockBit ai sistemi Linux e VMware ESXi. Gli operatori del ransomware hanno continuato a evolvere il loro prodotto nel marzo 2022 con l'emergere di LockBit 3.0, chiamato anche LockBit Black, una nuova variante che condivide somiglianze di codice con i ransomware BlackMatter e Alphv (BlackCat). Sebbene la sua prima apparizione sia stata segnalata nel marzo 2022, molti indicano il giugno 2022 come data di lancio significativa, quando LockBit 3.0 è stato ampiamente adottato. LockBit Red (il rinominato LockBit 2.0) è rimasto il builder predefinito per la maggior parte degli affiliati, mentre LockBit Black è stato riservato agli affiliati che avevano richiesto oltre 2,5 milioni di dollari di riscatto. Questa versione ha anche introdotto funzionalità avanzate, come l'eliminazione di processi specifici o la definizione di elenchi di file e dispositivi consentiti, e includeva un programma di bug bounty che offriva ricompense fino a 10 milioni di dollari.
Nel settembre 2022, una fuga di informazioni sul builder LockBit 3.0 ha consentito ad affiliati non LockBit di generare payload LockBit, accelerandone la diffusione. La versione successiva del ransomware, LockBit Green, è stata presentata nel gennaio 2023 e, secondo quanto riferito, incorporava il codice sorgente trapelato della versione 3 di Conti. A differenza di LockBit Black, LockBit Green non richiedeva prove di richieste di riscatto elevate, rendendolo un'offerta più inclusiva per una gamma più ampia di operatori cybercriminali. Quattro mesi dopo, nell'aprile 2023, una nuova variante di LockBit per macOS è apparsa sui malware open source, rispecchiando in gran parte le funzionalità della versione Linux/ESXi di LockBit e sottolineando il continuo impegno del gruppo a infettare il maggior numero possibile di piattaforme.
La pressione delle forze dell'ordine contro LockBit si è intensificata nel febbraio 2024, quandol'operazione Cronos, uno sforzo multinazionale coordinato, ha portato al sequestro temporaneo del suo DLS e del portale affiliato. Sebbene i servizi LockBit siano stati ripristinati cinque giorni dopo, ulteriori azioni nel maggio 2024 hanno portato ad accuse e sanzioni nei confronti di diversi membri chiave del gruppo, tra cui un cittadino russo identificato come sviluppatore e amministratore principale. Nel dicembre 2024, LockBit ha contrastato queste battute d'arresto rilasciando LockBit 4.0, che ha notevolmente rimosso l'opzione di generare payload LockBit Red. Nonostante le continue interruzioni, LockBit ha mantenuto la sua posizione di formidabile forza ransomware aggiornando regolarmente le sue offerte e continuando ad attrarre affiliati attraverso il suo framework RaaS.
Ora, con LockBit 5.0, il gruppo sta tentando un ritorno completo dopo gli smantellamenti globali e le fughe di notizie interne. Questa versione continua l'approccio modulare, introduce una maggiore capacità di elusione contro i moderni EDR e offre incentivi rinnovati agli affiliati per ricostruire la propria rete. Il risultato è un ceppo di ransomware progettato per essere più veloce, più resistente e più adattabile rispetto a qualsiasi suo predecessore.
Fonti: CISA e Crowdstrike
Paesi presi di mira da Lockbit
Nonostante Lockbit affermi di essere politicamente neutrale, un numero consistente delle sue vittime sembra provenire dagli Stati membri della NATO e dai loro alleati.
Circa il 50% degli attacchi che hanno coinvolto il ceppo LockBit 3.0 ha avuto un impatto sulle aziende negli Stati Uniti. Gli hacker che utilizzano Lockbit hanno ricevuto più di 91 milioni di dollari in riscatti dalle vittime statunitensi.
Anche Brasile e India sono molto ambiti.
Settori presi di mira da Lockbit
Il settore manifatturiero è spesso oggetto di attacchi da parte di LockBit, ma nessun settore specifico viene preso di mira in modo sistematico, il che sottolinea l'indiscriminatezza degli obiettivi del gruppo.
Sebbene solitamente prenda di mira le piccole e medie imprese, anche le grandi aziende come il gigante informatico Accenture non sono immuni dall'influenza di LockBit.
Fonte: SOCRadar
Le vittime di Lockbit
Il metodo di attacco di Lockbit
I partecipanti a LockBit 3.0 accedono alle reti tramite:
- compromettere le credenziali degli account esistenti
- utilizzando violazioni RDP
- sfruttando le vulnerabilità dei sistemi accessibili al pubblico
- navigazione su siti web dannosi durante la normale navigazione
- condurre phishing
LockBit 3.0 cerca di ottenere livelli di accesso più elevati quando le autorizzazioni attuali sono inadeguate e utilizza funzioni di accesso automatico per elevare i privilegi.
LockBit 3.0 nasconde la propria attività crittografando le comunicazioni con i server di controllo e cancellandosi automaticamente dopo l'esecuzione, e procede alla decrittografia solo quando viene fornita la password corretta.
Per rimanere integrato all'interno di una rete, LockBit 3.0 manipola gli account utente compromessi e configura i sistemi per l'accesso automatico.
LockBit 3.0 utilizza ProDump di Microsoft Sysinternals per estrarre il contenuto della memoria di processo da LSASS.exe.
LockBit 3.0 esegue la scansione delle reti utilizzando SoftPerfect Network Scanner, raccoglie dati dettagliati sul sistema e sul dominio ed evita di infettare i sistemi con impostazioni linguistiche specifiche.
Per la penetrazione nella rete interna, LockBit 3.0 sfrutta il software di desktop remoto Splashtop.
LockBit 3.0 configura il comando e il controllo utilizzando FileZilla e automatizza le interazioni Secure Shell tramite Plink sui sistemi Windows. Durante il suo funzionamento, LockBit 3.0 esegue comandi e utilizza Chocolatey, un gestore di pacchetti Windows, per la gestione del software.
LockBit 3.0 utilizza il suo strumento personalizzato Stealbit e cloud più diffusi cloud per sottrarre dati dalle reti.
LockBit 3.0 interrompe le operazioni cancellando i registri, svuotando il cestino, crittografando i dati, arrestando processi e servizi, eliminando le copie shadow e alterando l'aspetto del sistema infetto con le proprie immagini.
I partecipanti a LockBit 3.0 accedono alle reti tramite:
- compromettere le credenziali degli account esistenti
- utilizzando violazioni RDP
- sfruttando le vulnerabilità dei sistemi accessibili al pubblico
- navigazione su siti web dannosi durante la normale navigazione
- condurre phishing
LockBit 3.0 cerca di ottenere livelli di accesso più elevati quando le autorizzazioni attuali sono inadeguate e utilizza funzioni di accesso automatico per elevare i privilegi.
LockBit 3.0 nasconde la propria attività crittografando le comunicazioni con i server di controllo e cancellandosi automaticamente dopo l'esecuzione, e procede alla decrittografia solo quando viene fornita la password corretta.
Per rimanere integrato all'interno di una rete, LockBit 3.0 manipola gli account utente compromessi e configura i sistemi per l'accesso automatico.
LockBit 3.0 utilizza ProDump di Microsoft Sysinternals per estrarre il contenuto della memoria di processo da LSASS.exe.
LockBit 3.0 esegue la scansione delle reti utilizzando SoftPerfect Network Scanner, raccoglie dati dettagliati sul sistema e sul dominio ed evita di infettare i sistemi con impostazioni linguistiche specifiche.
Per la penetrazione nella rete interna, LockBit 3.0 sfrutta il software di desktop remoto Splashtop.
LockBit 3.0 configura il comando e il controllo utilizzando FileZilla e automatizza le interazioni Secure Shell tramite Plink sui sistemi Windows. Durante il suo funzionamento, LockBit 3.0 esegue comandi e utilizza Chocolatey, un gestore di pacchetti Windows, per la gestione del software.
LockBit 3.0 utilizza il suo strumento personalizzato Stealbit e cloud più diffusi cloud per sottrarre dati dalle reti.
LockBit 3.0 interrompe le operazioni cancellando i registri, svuotando il cestino, crittografando i dati, arrestando processi e servizi, eliminando le copie shadow e alterando l'aspetto del sistema infetto con le proprie immagini.
TTP utilizzati da Lockbit
Come rilevare Lockbit con Vectra AI
Elenco delle rilevazioni disponibili nella Vectra AI che potrebbero indicare un attacco ransomware.
Domande frequenti
Che cos'è il ransomware LockBit?
LockBit è un ransomware-as-a-service (RaaS) che crittografa i dati di un'organizzazione e richiede un riscatto per la chiave di decrittografia. È noto per la sua furtività, velocità e l'uso di uno schema di doppia estorsione.
In che modo LockBit ottiene l'accesso iniziale alle reti?
LockBit spesso ottiene l'accesso iniziale attraverso vari mezzi, tra cui lo sfruttamento dei protocolli di desktop remoto (RDP), phishing,phishing e l'utilizzo delle credenziali di account precedentemente violati.
Cosa rende LockBit 3.0 diverso dalle versioni precedenti?
LockBit 3.0 è più modulare ed evasivo, con una crittografia migliorata e la possibilità di personalizzare il payload dell'attacco. Ha incorporato caratteristiche di altri ransomware come BlackMatter e BlackCat.
LockBit è stato coinvolto in incidenti informatici significativi?
Sì, LockBit è responsabile di numerosi attacchi contro aziende di tutto il mondo, compresi incidenti di alto profilo che hanno coinvolto grandi multinazionali.
Quali sono i settori tipicamente presi di mira da LockBit?
LockBit non prende di mira un settore specifico. È noto per colpire un'ampia gamma di settori, tra cui quello sanitario, dell'istruzione e manifatturiero.
Come gestisce LockBit il processo di riscatto?
LockBit lascia solitamente una richiesta di riscatto con le istruzioni di pagamento all'interno del sistema compromesso. Il pagamento viene solitamente richiesto in criptovaluta e le trattative vengono talvolta condotte sul dark web.
Quali misure difensive possono essere efficaci contro LockBit?
L'aggiornamento e la correzione regolari dei sistemi, l'implementazione di controlli di accesso robusti, lo svolgimento frequente di corsi di formazione sulla sicurezza, l'utilizzo di strumenti avanzati di rilevamento delle minacce e il mantenimento di backup offline sono difese fondamentali.
Esistono strumenti di decrittazione disponibili per i file crittografati con LockBit?
Se siete stati vittime di LockBit, la National Crime Agency (NCA) ha acquisito 1.000 chiavi di decrittazione dal sito di LockBit che possono aiutare a decriptare i dati rubati.
Qual è la migliore linea d'azione da intraprendere se la mia rete è stata compromessa da LockBit?
Isolate i sistemi interessati, avviate un piano di risposta agli incidenti e contattate le forze dell'ordine e i professionisti della sicurezza informatica. Evitate di pagare il riscatto, poiché non garantisce il recupero dei dati e potrebbe finanziare ulteriori attività criminali.
Cosa si sa degli operatori dietro LockBit?
Si ritiene che gli operatori facciano parte di un sofisticato gruppo di criminali informatici che opera con un modello RaaS, reclutando affiliati per diffondere il ransomware rimanendo nascosti e mantenendo l'anonimato.