Cerca

LockBit e il modello Raas sotto le luci della “ribalta”

Gli attacchi ransomware sono all’ordine del giorno come ben si sa, e oramai se ne parla anche su testate giornalistiche quotidiane generaliste e non solo su quelle specializzate.


Solo di ieri la notizia dell’attacco informatico da parte della gang LockBit all’agenzia delle entrate, comunque da loro smentita… (ma attacco confermato forse ad organizzazione ad essa correlata .. notizia da confermare), ad opera di un affiliato della gang stessa – infatti al suo interno ci lavorano oltre 100 persone e molti gruppi affiliati.


Gli affiliati di una cyber-gang possono essere di differenti skill e capacità, anche se il movente è sempre lo stesso: estorcere quanto più denaro da una data organizzazione.


In ogni caso Il ransomware LockBit è attualmente una delle minacce più conosciute, attive e dirompenti mai rilevate finora.




Analizziamo LockBit, come si muove e come lavora.


Gli attacchi ransomware LockBit sono in continua evoluzione utilizzano un'ampia gamma di tecniche per infettare gli obiettivi e allo stesso tempo adottano misure per disabilitare le soluzioni di sicurezza degli endpoint.


Gli affiliati che utilizzano i servizi di LockBit conducono i loro attacchi in base alle loro preferenze e utilizzano strumenti e tecniche diversi per raggiungere il loro obiettivi: man mano che l'attacco avanza lungo la kill chain, le attività di casi diversi tendono a convergere verso attività simili.



LockBit, che opera su un modello di ransomware-as-a-service (RaaS) come la maggior parte dei gruppi, è stato osservato per la prima volta a settembre 2019 e da allora è emerso come il ceppo di ransomware più dominante quest'anno, superando altri noti gruppi come Conti, Hive e BlackCat.


Stando a un'analisi elaborata da Cyble, il 33,3% delle vittime di LockBit sono soggetti che erogano servizi bancari, finanziari e assicurativi; seguono con il 22,2% le aziende che forniscono servizi professionali alla clientela.

LockBit è il ransomware più veloce a crittografare i file degli utenti per poi chiedere un riscatto in denaro ed è gestito da un gruppo che si serve di "tattiche" particolarmente avanzate per massimizzare la diffusione del malware e migliorarne di continuo le capacità di aggressione nonché le abilità che gli consentono di rimanere "under-the-radar".

Ciò coinvolge gli autori di malware che concedono in licenza l'accesso agli affiliati, che eseguono gli attacchi in cambio dell'utilizzo dei loro strumenti e della loro infrastruttura e guadagnano fino all'80% di ogni pagamento di riscatto riuscito ricevuto dalle vittime.


LockBit utilizza anche la popolare tecnica della doppia estorsione per esfiltrare grandi quantità di dati prima di crittografare le risorse del bersaglio, catturando il sindacato di criminali informatici non meno di 850 vittime sul suo sito di fuga di dati a maggio 2022.


Secondo un'analisi dei dati sui siti di fuga dell'unità 42 di Palo Alto Networks, LockBit ha rappresentato il 46% di tutti gli eventi di violazione relativi al ransomware per il primo trimestre del 2022. Nel solo mese di giugno, il gruppo è stato legato a 44 attacchi, rendendolo il ceppo di ransomware più attivo.



È noto che gli attacchi ransomware LockBit utilizzano diverse strade per l'infezione iniziale: sfruttare le porte RDP pubblicamente esposte, fare affidamento su e-mail di phishing per scaricare payload dannosi o sfruttare i difetti del server senza patch che consentono agli affiliati di ottenere l'accesso remoto alla rete mirata.


Seguendo questo passaggio ci sono attività di ricognizione e furto di credenziali, che consentono agli attori di spostarsi lateralmente attraverso la rete, stabilire la persistenza, aumentare i privilegi e avviare il ransomware. Questo è anche accompagnato dall'esecuzione di comandi per eliminare i backup e sovvertire il rilevamento da parte di firewall e software antivirus.



Secondo un'intervista pubblica del 2021 con un presunto membro della banda LockBit, il gruppo ha una politica contro le organizzazioni che operano nei settori della sanità, dell'istruzione, della beneficenza e dei servizi sociali. Tuttavia, gli affiliati LockBit in alcuni casi non hanno seguito queste linee guida e hanno attaccato organizzazioni del settore sanitario e dell'istruzione.



Nei tre anni da quando LockBit è apparso sulla scena, lo schema RaaS ha ricevuto due notevoli aggiornamenti, con gli attori delle minacce che hanno debuttato con LockBit 2.0 nel giugno 2021 e hanno lanciato la terza rata del servizio, LockBit 3.0.


LockBit 3.0 introduce diverse novità, come una piattaforma di bug-hunting relativa alle infrastrutture utilizzate dalla gang, l’acquisto di criptovaluta, una nuova sezione per gli affiliati e ulteriori modi per monetizzare che possono essere sintetizzate in:

  • Estensione del “countdown”: la vittima può pagare dei soldi per estendere il countdown per la pubblicazione dei dati;

  • Distruzione di tutte le informazioni: la vittima può pagare per distruggere tutte le informazioni esfiltrate dalla sua organizzazione;

  • Download dei dati in qualsiasi momento: la vittima può pagare per ottenere l’accesso al download esclusivo di tutti i dati esfiltrati dell’azienda.



Un’altra novità di LockBit come di altre gang di ransomware e un gruppo di estorsioni di dati è l’adozione di una nuova strategia per costringere le aziende vittime a pagare gli attori delle minacce per non divulgare i dati rubati.


La nuova tattica consiste nell'aggiungere una funzione di ricerca sul sito di fuga per rendere più facile trovare vittime o anche dettagli specifici.


Infatti LockBit ha offerto una versione ridisegnata del loro sito di fuga di dati che ha consentito la ricerca di società vittime elencate.


La ricerca di LockBit non è così avanzata come la variante propagandata per esempio da BlackCat e si limita a trovare le vittime solo per nome.


Tuttavia, anche in questa forma di base, l'implementazione della funzione di ricerca da parte della banda rende ancora più facile individuare sui loro siti di perdita i dati di aziende specifiche.