Lockbit
LockBit è uno dei più grandi gruppi di ransomware-as-a-service al mondo e ha orchestrato attacchi informatici su vasta scala in diversi settori, colpendo migliaia di organizzazioni a livello globale con le sue strategie implacabili e adattive.
L'origine di Lockbit
Le origini di LockBit risalgono al settembre 2019, quando fu rilevata la prima attività nota del ransomware “ABCD”, ampiamente considerato il predecessore di LockBit. Nel gennaio 2020, LockBit aveva iniziato ad apparire con il suo nome attuale sui forum di criminalità informatica in lingua russa. Da quel primo punto d’appoggio, è rapidamente diventata una delle famiglie di ransomware più importanti nel panorama della criminalità informatica, adottando un modello Ransomware-as-a-Service (RaaS) che include un sito dedicato alla divulgazione dei dati rubati (DLS) e un portale per la negoziazione del riscatto. Gli affiliati si registrano per utilizzare i generatori di ransomware di LockBit, gestiscono le nuove vittime tramite il DLS e possono anche impiegare“StealBit”, uno strumento per il furto di informazioni integrato nelle versioni successive di LockBit.
Una tappa fondamentale è stata raggiunta nel giugno 2021 con il debutto di LockBit 2.0 (spesso denominato LockBit Red). Sebbene la popolarità e l’impatto di LockBit fossero già in crescita, questa versione ha ampliato notevolmente la visibilità del gruppo. Nell’ottobre 2021 è apparsa la versione 1.0 di LockBit Linux-ESXi Locker, che ha esteso le capacità di attacco di LockBit ai sistemi Linux e VMware ESXi. Gli operatori del ransomware hanno continuato a evolvere il loro prodotto nel marzo 2022 con l'emergere di LockBit 3.0, chiamato anche LockBit Black: una nuova variante che condivide somiglianze di codice con i ransomware BlackMatter e Alphv (BlackCat). Sebbene la sua prima comparsa sia stata segnalata nel marzo 2022, molti indicano il giugno 2022 come una data di lancio significativa, quando LockBit 3.0 è stato ampiamente adottato. LockBit Red (il LockBit 2.0 rinominato) è rimasto il builder predefinito per la maggior parte degli affiliati, mentre LockBit Black era riservato agli affiliati che avevano richiesto riscatti superiori a 2,5 milioni di dollari. Questa versione ha anche introdotto funzionalità avanzate, come l'interruzione di processi specifici o la definizione di liste di file e dispositivi consentiti, e includeva un programma di bug bounty che offriva ricompense fino a 10 milioni di dollari.
Nel settembre 2022, è trapelata una fuga del builder di LockBit 3.0 ha permesso a soggetti non affiliati a LockBit di generare payload LockBit, accelerandone la diffusione. La versione successiva del ransomware, LockBit Green, è stata presentata nel gennaio 2023 e, secondo quanto riferito, incorporava il codice sorgente trapelato della versione 3 di Conti. A differenza di LockBit Black, LockBit Green non richiedeva alcuna prova di richieste di riscatto di importo elevato, rendendolo un'offerta più inclusiva per una gamma più ampia di operatori cybercriminali. Quattro mesi dopo, nell'aprile 2023, una nuova variante di LockBit per macOS è apparsa nei malware open-source, rispecchiando in gran parte le funzionalità della versione Linux/ESXi di LockBit e sottolineando il continuo impegno del gruppo a infettare il maggior numero possibile di piattaforme.
La pressione delle forze dell'ordine contro LockBit si è intensificata nel febbraio 2024, quandol'«Operazione Cronos»— un'iniziativa multinazionale coordinata — ha portato al sequestro temporaneo del suo DLS e del portale degli affiliati. Sebbene i servizi di LockBit siano stati ripristinati cinque giorni dopo, ulteriori azioni intraprese nel maggio 2024 hanno portato a incriminazioni e sanzioni nei confronti di diversi membri chiave del gruppo, tra cui un cittadino russo identificato come sviluppatore principale e amministratore. Nel dicembre 2024, LockBit ha reagito a queste battute d’arresto rilasciando LockBit 4.0, che in particolare ha rimosso l'opzione di generare payload LockBit Red. Nonostante le continue interruzioni, LockBit ha mantenuto la sua posizione di formidabile forza nel panorama del ransomware aggiornando regolarmente la propria offerta e continuando ad attrarre affiliati attraverso il proprio framework RaaS.
Ora, con LockBit 5.0, il gruppo sta tentando un ritorno in grande stile dopo gli smantellamenti globali e le fughe di notizie interne. Questa versione mantiene l'approccio modulare, introduce una maggiore capacità di elusione contro i moderni sistemi EDR e offre incentivi rinnovati agli affiliati per ricostruire la propria rete. Il risultato è una variante di ransomware progettata per essere più veloce, più resiliente e più adattabile rispetto a qualsiasi sua versione precedente.
Fonti: CISA e Crowdstrike
Paesi presi di mira da Lockbit
Nonostante Lockbit affermi di essere politicamente neutrale, sembra che un numero consistente delle sue vittime provenga dagli Stati membri della NATO e dai loro alleati.
Circa il 50% degli attacchi perpetrati dal ceppo LockBit 3.0 ha colpito aziende negli Stati Uniti. Gli hacker che utilizzano LockBit hanno incassato oltre 91 milioni di dollari in riscatti dalle vittime statunitensi.
Anche il Brasile e l'India sono particolarmente presi di mira.
Settori presi di mira da Lockbit
Il settore manifatturiero è spesso oggetto di attacchi da parte di LockBit, ma nessun settore specifico viene preso di mira in modo sistematico, il che sottolinea l'approccio indiscriminato del gruppo.
Sebbene LockBit prenda di mira solitamente le piccole e medie imprese, nemmeno le grandi aziende come il colosso dell'IT Accenture sono al riparo dalla sua influenza.
Fonte: SOCRadar
Le vittime di Lockbit
Il metodo di attacco di Lockbit
I membri di LockBit 3.0 accedono alle reti tramite:
- compromettere le credenziali dell'account esistente
- sfruttando le vulnerabilità di RDP
- sfruttando le vulnerabilità dei sistemi accessibili al pubblico
- la navigazione su siti web dannosi durante la normale navigazione
- effettuare phishing
LockBit 3.0 cerca di ottenere livelli di accesso più elevati quando le autorizzazioni attuali non sono sufficienti e utilizza funzioni di accesso automatico per elevare i privilegi.
LockBit 3.0 nasconde la propria attività crittografando le comunicazioni con i server di controllo e cancellandosi automaticamente dopo l'esecuzione, e procede alla decrittografia solo quando viene fornita la password corretta.
Per mantenere la propria presenza all'interno di una rete, LockBit 3.0 manipola gli account utente compromessi e configura i sistemi per l'accesso automatico.
LockBit 3.0 utilizza ProDump di Microsoft Sysinternals per estrarre i contenuti della memoria di processo da LSASS.exe.
LockBit 3.0 esegue la scansione delle reti utilizzando SoftPerfect Network Scanner, raccoglie dati dettagliati sul sistema e sul dominio ed evita di infettare i sistemi con impostazioni linguistiche specifiche.
Per penetrare nella rete interna, LockBit 3.0 utilizza il software di desktop remoto Splashtop.
LockBit 3.0 configura il sistema di comando e controllo tramite FileZilla e automatizza le interazioni Secure Shell tramite Plink sui sistemi Windows. Durante il suo funzionamento, LockBit 3.0 esegue comandi e utilizza Chocolatey, un gestore di pacchetti per Windows, per la gestione del software.
LockBit 3.0 utilizza il proprio strumento personalizzato Stealbit e cloud più diffusi cloud per sottrarre dati dalle reti.
LockBit 3.0 compromette il funzionamento dei sistemi cancellando i registri, svuotando il Cestino, crittografando i dati, interrompendo processi e servizi, eliminando le copie di backup e modificando l'aspetto del sistema infetto con immagini proprie.
I membri di LockBit 3.0 accedono alle reti tramite:
- compromettere le credenziali dell'account esistente
- sfruttando le vulnerabilità di RDP
- sfruttando le vulnerabilità dei sistemi accessibili al pubblico
- la navigazione su siti web dannosi durante la normale navigazione
- effettuare phishing
LockBit 3.0 cerca di ottenere livelli di accesso più elevati quando le autorizzazioni attuali non sono sufficienti e utilizza funzioni di accesso automatico per elevare i privilegi.
LockBit 3.0 nasconde la propria attività crittografando le comunicazioni con i server di controllo e cancellandosi automaticamente dopo l'esecuzione, e procede alla decrittografia solo quando viene fornita la password corretta.
Per mantenere la propria presenza all'interno di una rete, LockBit 3.0 manipola gli account utente compromessi e configura i sistemi per l'accesso automatico.
LockBit 3.0 utilizza ProDump di Microsoft Sysinternals per estrarre i contenuti della memoria di processo da LSASS.exe.
LockBit 3.0 esegue la scansione delle reti utilizzando SoftPerfect Network Scanner, raccoglie dati dettagliati sul sistema e sul dominio ed evita di infettare i sistemi con impostazioni linguistiche specifiche.
Per penetrare nella rete interna, LockBit 3.0 utilizza il software di desktop remoto Splashtop.
LockBit 3.0 configura il sistema di comando e controllo tramite FileZilla e automatizza le interazioni Secure Shell tramite Plink sui sistemi Windows. Durante il suo funzionamento, LockBit 3.0 esegue comandi e utilizza Chocolatey, un gestore di pacchetti per Windows, per la gestione del software.
LockBit 3.0 utilizza il proprio strumento personalizzato Stealbit e cloud più diffusi cloud per sottrarre dati dalle reti.
LockBit 3.0 compromette il funzionamento dei sistemi cancellando i registri, svuotando il Cestino, crittografando i dati, interrompendo processi e servizi, eliminando le copie di backup e modificando l'aspetto del sistema infetto con immagini proprie.
TTP utilizzati da Lockbit
Come rilevare Lockbit con Vectra AI
Elenco dei rilevamenti disponibili nella Vectra AI che potrebbero indicare un attacco ransomware.
Domande frequenti
Cos'è il ransomware LockBit?
LockBit è un ransomware-as-a-service (RaaS) che crittografa i dati di un'organizzazione e richiede un riscatto per la chiave di decrittografia. È noto per la sua discrezione, la rapidità d'azione e l'uso di uno schema di doppia estorsione.
In che modo LockBit ottiene l'accesso iniziale alle reti?
LockBit ottiene spesso l'accesso iniziale attraverso vari mezzi, tra cui lo sfruttamento dei protocolli di desktop remoto (RDP), phishing,phishing e l'utilizzo delle credenziali di account già compromessi.
Cosa distingue LockBit 3.0 dalle versioni precedenti?
LockBit 3.0 è più modulare e elusivo, con una crittografia migliorata e la possibilità di personalizzare il payload dell'attacco. Ha incorporato funzionalità di altri ransomware come BlackMatter e BlackCat.
LockBit è stato coinvolto in qualche incidente informatico di rilievo?
Sì, LockBit è stato responsabile di numerosi attacchi contro aziende di tutto il mondo, compresi episodi di grande risonanza che hanno coinvolto grandi multinazionali.
Quali sono i settori che LockBit prende di mira più spesso?
LockBit non prende di mira un settore specifico. È noto che attacca una vasta gamma di settori, tra cui quello sanitario, dell'istruzione e manifatturiero.
In che modo LockBit gestisce la procedura di riscatto?
LockBit lascia solitamente una richiesta di riscatto con le istruzioni per il pagamento all'interno del sistema compromesso. Il pagamento viene solitamente richiesto in criptovaluta e le trattative si svolgono talvolta sul dark web.
Quali misure difensive possono rivelarsi efficaci contro LockBit?
L'aggiornamento e l'applicazione regolare delle patch ai sistemi, l'implementazione di solidi controlli di accesso, lo svolgimento frequente di corsi di formazione sulla sicurezza, l'utilizzo di strumenti avanzati di rilevamento delle minacce e la creazione di backup offline costituiscono misure di difesa fondamentali.
Esistono strumenti di decrittografia per i file crittografati da LockBit?
Se siete stati vittime di LockBit, la National Crime Agency (NCA) ha recuperato dal sito di LockBit 1.000 chiavi di decrittazione che possono aiutare a decriptare i dati rubati.
Qual è la cosa migliore da fare se la mia rete viene compromessa da LockBit?
Isolare i sistemi colpiti, avviare un piano di risposta agli incidenti e contattare le forze dell'ordine e gli esperti di sicurezza informatica. Evitare di pagare il riscatto, poiché ciò non garantisce il recupero dei dati e potrebbe finanziare ulteriori attività criminali.
Cosa si sa degli autori di LockBit?
Si ritiene che gli autori facciano parte di un sofisticato gruppo di criminali informatici che opera secondo un modello RaaS, reclutando affiliati per diffondere il ransomware pur rimanendo nell'ombra e mantenendo l'anonimato.