Lockbit

LockBit, riconosciuto anche come LockBit Black o Lockbit 3.0, è uno dei più grandi gruppi di ransomware al mondo e ha orchestrato ampi cyberattacchi in vari settori, colpendo migliaia di organizzazioni a livello globale con le sue strategie implacabili e adattive.

Rilevare i TTP di Lockbit

Sfondo

L'origine di Lockbit

Dalla sua nascita nel settembre 2019, LockBit è diventato famoso nel mondo della criminalità informatica, sfruttando il suo modello RaaS e "StealBit" malware per colpire aggressivamente aziende e infrastrutture.

Passando dalle versioni LockBit Red a 3.0, ogni iterazione ha introdotto caratteristiche sofisticate che hanno messo a dura prova l'analisi della sicurezza. Nel 2023 è emerso LockBit Green, che ha unito le caratteristiche del defunto ransomware Conti, illustrando l'adattabilità all'interno dei circoli della criminalità informatica.

Tuttavia, l'operazione Cronos del febbraio 2024 ha interrotto le operazioni di LockBit, erodendo la sua credibilità e rivelando gli sforzi internazionali per combattere il ransomware. Nonostante il sequestro dei siti Lockbit da parte delle forze dell'ordine, sono stati segnalati ulteriori attacchi, a dimostrazione della persistenza del gruppo.

^Cartografia:^OCD

Obiettivi

Obiettivi di Lockbit

Paesi presi di mira da Lockbit

Nonostante le affermazioni di Lockbit sulla neutralità politica, un numero sostanziale di vittime sembra provenire dagli Stati membri della NATO e dai loro alleati.

Circa il 50% degli attacchi che hanno coinvolto il ceppo LockBit 3.0 hanno colpito aziende negli Stati Uniti. Gli hacker che utilizzano Lockbit hanno ricevuto più di 91 milioni di dollari in pagamenti di riscatti dalle vittime statunitensi.

Anche il Brasile e l'India sono molto bersagliati.

^Fonte:^SOCRadar

Settori presi di mira da Lockbit

L'industria manifatturiera viene attaccata frequentemente da LockBit, ma non viene individuato un singolo settore, il che sottolinea l'indiscriminatezza dei bersagli del gruppo.

Sebbene in genere si tratti di piccole e medie imprese, anche grandi aziende come il gigante dell'IT Accenture non sono immuni dalla portata di LockBit.

^Fonte:^SOCRadar

Settori presi di mira da Lockbit

L'industria manifatturiera viene attaccata frequentemente da LockBit, ma non viene individuato un singolo settore, il che sottolinea l'indiscriminatezza dei bersagli del gruppo.

Sebbene in genere si tratti di piccole e medie imprese, anche grandi aziende come il gigante dell'IT Accenture non sono immuni dalla portata di LockBit.

^Fonte:^SOCRadar

Vittime di Lockbit

Ad oggi, più di 1661 vittime sono state vittime delle operazioni dannose di Lockbit.

^Fonte:^{Ransomware.live}

Metodo di attacco

Metodo di attacco di Lockbit

Una figura ombrosa che getta un'ampia rete su un paesaggio digitale pieno di vari dispositivi come computer, smartphone e tablet. La rete simboleggia i tentativi dell'attaccante di trovare vulnerabilità o di utilizzare le tecniche di phishing per ottenere un accesso non autorizzato.

I partecipanti a LockBit 3.0 accedono alle reti tramite:

compromettere le credenziali dell'account esistente
Utilizzo delle violazioni RDP
sfruttare le vulnerabilità dei sistemi rivolti al pubblico
navigazione verso siti web dannosi durante la normale navigazione
condurre attacchiphishing

Una scala digitale che si estende verso l'alto da un'icona utente di base verso una corona che simboleggia i privilegi amministrativi. Questo rappresenta gli sforzi dell'attaccante per ottenere un accesso di livello superiore all'interno del sistema.

LockBit 3.0 cerca di ottenere livelli di accesso più elevati quando le autorizzazioni attuali sono inadeguate e utilizza le funzioni di login automatico per elevare i privilegi.

Un camaleonte che si mimetizza in uno sfondo digitale, con zeri e uno che gli scorrono intorno. Questo rappresenta la capacità dell'attaccante di evitare il rilevamento da parte delle misure di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.

LockBit 3.0 nasconde la sua attività criptando le comunicazioni con i server di controllo e auto-cancellandosi dopo l'esecuzione, e procederà alla decriptazione solo quando verrà fornita la password corretta.

Per rimanere integrato in una rete, LockBit 3.0 manipola gli account utente compromessi e configura i sistemi per il login automatico.

Un ladro con un kit di grimaldelli che lavora su un buco della serratura gigante a forma di modulo di login, che rappresenta gli sforzi dell'attaccante di rubare le credenziali dell'utente per ottenere un accesso non autorizzato.

LockBit 3.0 utilizza ProDump di Microsoft Sysinternals per estrarre i contenuti della memoria di processo da LSASS.exe.

Una lente di ingrandimento che si muove su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per capire la struttura e dove risiedono i dati preziosi.

LockBit 3.0 esegue la scansione delle reti utilizzando SoftPerfect Network Scanner, raccoglie dati dettagliati sul sistema e sul dominio ed evita di infettare i sistemi con impostazioni linguistiche specifiche.

Una serie di nodi interconnessi con una figura oscura che si muove furtivamente tra di essi. Questo illustra i movimenti dell'attaccante all'interno della rete, che cerca di ottenere il controllo di altri sistemi o di diffondere malware.

Per la penetrazione della rete interna, LockBit 3.0 utilizza il software di desktop remoto Splashtop.

Un grande aspirapolvere che aspira file, icone di dati e cartelle in un sacchetto tenuto da una figura in ombra. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.

Una finestra del prompt dei comandi aperta davanti a uno sfondo digitale, con la digitazione di codice dannoso. Questa rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.

LockBit 3.0 imposta il comando e il controllo utilizzando FileZilla e automatizza le interazioni sicure con la shell tramite Plink sui sistemi Windows. Durante il suo funzionamento, LockBit 3.0 esegue i comandi e utilizza Chocolatey, un gestore di pacchetti di Windows, per la gestione del software.

Una serie di file che vengono convogliati attraverso un canale nascosto da un computer a un sito cloud etichettato con un teschio, che simboleggia il trasferimento non autorizzato di dati a una posizione controllata dall'aggressore.

LockBit 3.0 utilizza il suo strumento personalizzato Stealbit e i popolari servizi di cloud per trafugare dati dalle reti.

Uno schermo incrinato con dietro un paesaggio urbano digitale in preda al caos, che simboleggia l'impatto distruttivo del cyberattacco, come l'interruzione del servizio, la distruzione dei dati o la perdita finanziaria.

LockBit 3.0 interrompe le operazioni cancellando i registri, svuotando il cestino, criptando i dati, arrestando i processi e i servizi, cancellando le copie shadow e alterando l'aspetto del sistema infetto con le proprie immagini.

Accesso iniziale

I partecipanti a LockBit 3.0 accedono alle reti tramite:

compromettere le credenziali dell'account esistente
Utilizzo delle violazioni RDP
sfruttare le vulnerabilità dei sistemi rivolti al pubblico
navigazione verso siti web dannosi durante la normale navigazione
condurre attacchiphishing

Escalation dei privilegi

LockBit 3.0 cerca di ottenere livelli di accesso più elevati quando le autorizzazioni attuali sono inadeguate e utilizza le funzioni di login automatico per elevare i privilegi.

Difesa Evasione

Per rimanere integrato in una rete, LockBit 3.0 manipola gli account utente compromessi e configura i sistemi per il login automatico.

Accesso alle credenziali

LockBit 3.0 utilizza ProDump di Microsoft Sysinternals per estrarre i contenuti della memoria di processo da LSASS.exe.

Scoperta

Movimento laterale

Per la penetrazione della rete interna, LockBit 3.0 utilizza il software di desktop remoto Splashtop.

Collezione

Esecuzione

Esfiltrazione

LockBit 3.0 utilizza il suo strumento personalizzato Stealbit e i popolari servizi di cloud per trafugare dati dalle reti.

Impatto

MITRE ATT&CK Mappatura

TTP utilizzati da Lockbit

LockBit impiega TTP (Tactics, Techniques, and Procedures) più modulari ed evasive rispetto ai suoi predecessori, riflettendo caratteristiche condivise con le famiglie di ransomware BlackMatter e BlackCat.

TA0001: Initial Access

T1566

Phishing

T1190

Exploit Public-Facing Application

T1189

Drive-by Compromise

T1133

External Remote Services

T1078

Valid Accounts

TA0002: Execution

No items found.

TA0003: Persistence

T1547

Boot or Logon Autostart Execution

T1546

Event Triggered Execution

T1078

Valid Accounts

TA0004: Privilege Escalation

T1547

Boot or Logon Autostart Execution

T1546

Event Triggered Execution

T1078

Valid Accounts

TA0005: Defense Evasion

T1480

Execution Guardrails

T1027

Obfuscated Files or Information

T1070

Indicator Removal

T1078

Valid Accounts

TA0006: Credential Access

T1003

OS Credential Dumping

TA0007: Discovery

T1614

System Location Discovery

T1082

System Information Discovery

T1046

Network Service Discovery

TA0008: Lateral Movement

T1072

Software Deployment Tools

TA0009: Collection

No items found.

TA0011: Command and Control

No items found.

TA0010: Exfiltration

No items found.

TA0040: Impact

T1486

Data Encrypted for Impact

Rilevamenti della piattaforma

Come rilevare Lockbit con Vectra AI

Elenco dei rilevamenti disponibili nella piattaforma Vectra AI che indicano un attacco ransomware.

AWS Suspect Admin Privilege Granting

External Remote Access

M365 Ransomware

M365 Suspicious SharePoint Operation

Privilege Anomaly: Unusual Account on Host

Ransomware File Activity

Visualizza altri rilevamenti

Valutare l'esposizione agli attacchi

DOMANDE FREQUENTI

Che cos'è il ransomware LockBit?

LockBit è un Ransomware-as-a-Service (RaaS) che cripta i dati di un'organizzazione e chiede un riscatto per la chiave di decriptazione. È noto per la sua furtività, la velocità e l'uso di un doppio schema di estorsione.

Come fa LockBit a ottenere l'accesso iniziale alle reti?

LockBit spesso ottiene l'accesso iniziale attraverso vari mezzi, tra cui lo sfruttamento di protocolli desktop remoti (RDP), phishing, spearphishing e l'utilizzo di credenziali di account precedentemente violati.

Cosa rende LockBit 3.0 diverso dalle versioni precedenti?

LockBit 3.0 è più modulare ed evasivo, con una crittografia migliorata e la possibilità di personalizzare il payload dell'attacco. Ha incorporato caratteristiche di altri ransomware come BlackMatter e BlackCat.

LockBit è stata coinvolta in incidenti informatici significativi?

Sì, LockBit è stato responsabile di numerosi attacchi alle aziende a livello globale, compresi incidenti di alto profilo che hanno coinvolto grandi multinazionali.

A quali settori si rivolge tipicamente LockBit?

LockBit non si rivolge a un settore specifico. È noto che prende di mira un'ampia gamma di settori, tra cui l'assistenza sanitaria, l'istruzione e la produzione.

Come gestisce LockBit il processo di riscatto?

LockBit di solito lascia una nota di riscatto con istruzioni di pagamento all'interno del sistema compromesso. Il pagamento viene solitamente richiesto in criptovaluta e le trattative vengono talvolta condotte sul dark web.

Quali misure difensive possono essere efficaci contro LockBit?

L'aggiornamento e il patching regolari dei sistemi, l'implementazione di solidi controlli di accesso, la formazione frequente sulla sicurezza, l'utilizzo di strumenti avanzati di rilevamento delle minacce e il mantenimento di backup offline sono difese fondamentali.

Sono disponibili strumenti di decriptazione per i file criptati da LockBit?

Se siete stati colpiti da LockBit, la National Crime Agency (NCA) ha acquisito 1.000 chiavi di decriptazione dal sito di LockBit che possono aiutare a decriptare i dati rubati.

Qual è la migliore linea d'azione se la mia rete è compromessa da LockBit?

Isolate i sistemi colpiti, avviate un piano di risposta agli incidenti e contattate le forze dell'ordine e i professionisti della sicurezza informatica. Evitate di pagare il riscatto, perché non garantisce il recupero dei dati e può finanziare ulteriori attività criminali.

Cosa si sa degli operatori dietro LockBit?

Si ritiene che gli operatori facciano parte di un sofisticato gruppo di criminali informatici che opera con un modello RaaS, reclutando affiliati per diffondere il ransomware rimanendo nascosti e mantenendo l'anonimato.

Lockbit

L'origine di Lockbit

Obiettivi di Lockbit

Paesi presi di mira da Lockbit

Settori presi di mira da Lockbit

Settori presi di mira da Lockbit

Vittime di Lockbit

Metodo di attacco di Lockbit

TTP utilizzati da Lockbit

Come rilevare Lockbit con Vectra AI

AWS Suspect Admin Privilege Granting

External Remote Access

M365 Ransomware

M365 Suspicious SharePoint Operation

Privilege Anomaly: Unusual Account on Host

Ransomware File Activity

DOMANDE FREQUENTI

Che cos'è il ransomware LockBit?

Come fa LockBit a ottenere l'accesso iniziale alle reti?

Cosa rende LockBit 3.0 diverso dalle versioni precedenti?

LockBit è stata coinvolta in incidenti informatici significativi?

A quali settori si rivolge tipicamente LockBit?

Come gestisce LockBit il processo di riscatto?

Quali misure difensive possono essere efficaci contro LockBit?

Sono disponibili strumenti di decriptazione per i file criptati da LockBit?

Qual è la migliore linea d'azione se la mia rete è compromessa da LockBit?

Cosa si sa degli operatori dietro LockBit?

La vostra organizzazione è al sicuro dagli attacchi del ransomware Lockbit?