Furti, estorsioni, ricatti e furti d'identità sono all'ordine del giorno online, con migliaia di persone vittime di varie truffe e attacchi ogni mese. Una di queste modalità di attacco utilizza un tipo di ransomware noto come LockBit 3.0. Quindi, da dove viene questo ransomware, come viene utilizzato e cosa puoi fare per proteggerti?

Da dove viene LockBit 3.0?

LockBit 3.0 (noto anche come LockBit Black) è un ceppo di ransomware derivato dalla famiglia di ransomware LockBit. Questo è un gruppo di programmi ransomware che è stato scoperto per la prima volta a settembre 2019, dopo la prima ondata di attacchi. Inizialmente, LockBit veniva chiamato "virus .abcd", ma a quel punto non si sapeva che I creatori e gli utenti di LockBit continuerebbero a creare nuove iterazioni del ransomware originale programma.

La famiglia di programmi ransomware di LockBit si autodiffonde, ma solo alcune vittime vengono prese di mira, principalmente quelle con la possibilità di pagare un ingente riscatto. Coloro che utilizzano LockBit ransomware spesso acquistano l'accesso Remote Desktop Protocol (RDP) sul dark web in modo da poter accedere ai dispositivi delle vittime da remoto e più facilmente.

instagram viewer

Gli operatori di LockBit hanno preso di mira organizzazioni in tutto il mondo sin dal suo primo utilizzo, inclusi Regno Unito, Stati Uniti, Ucraina e Francia. Questa famiglia di programmi dannosi utilizza il Ransomware come servizio (RaaS) modello, in cui gli utenti possono pagare gli operatori per avere accesso a un determinato tipo di ransomware. Ciò comporta spesso una qualche forma di abbonamento. A volte, gli utenti possono persino controllare le statistiche per vedere se il loro utilizzo di LockBit ransomware ha avuto successo.

Non è stato fino al 2021 che LockBit è diventato un tipo di ransomware prevalente, attraverso LockBit 2.0 (il predecessore dell'attuale ceppo). A questo punto, le bande che hanno utilizzato questo ransomware hanno deciso di farlo adottare il modello della doppia estorsione. Ciò comporta sia la crittografia che l'esfiltrazione (o il trasferimento) dei file di una vittima su un altro dispositivo. Questo metodo di attacco aggiuntivo rende l'intera situazione ancora più spaventosa per l'individuo o l'organizzazione presi di mira.

Il tipo più recente di ransomware LockBit è stato identificato come LockBit 3.0. Quindi, come funziona LockBit 3.0 e come viene utilizzato oggi?

Cos'è LockBit 3.0?

Alla fine della primavera del 2022 è stata scoperta una nuova iterazione del gruppo di ransomware LockBit: LockBit 3.0. Come programma ransomware, LockBit 3.0 può crittografare ed esfiltrare tutti i file su un dispositivo infetto, consentendo all'attaccante di tenere in ostaggio i dati della vittima fino a quando non viene richiesto il riscatto pagato. Questo ransomware è ora attivo in natura e sta causando molte preoccupazioni.

Il processo di un tipico attacco LockBit 3.0 è:

  1. LockBit 3.0 infetta il dispositivo di una vittima, crittografa i file e aggiunge l'estensione dei file crittografati come "HLjkNskOq".
  2. Per eseguire la crittografia è quindi necessaria una chiave di argomento della riga di comando nota come "-pass".
  3. LockBit 3.0 crea vari thread per eseguire più attività contemporaneamente in modo che la crittografia dei dati possa essere completata in meno tempo.
  4. LockBit 3.0 elimina alcuni servizi o funzionalità per rendere il processo di crittografia ed esfiltrazione molto più semplice.
  5. Un'API viene utilizzata per ospitare l'accesso al database del gestore di controllo del servizio.
  6. Lo sfondo del desktop della vittima viene modificato in modo che sappiano di essere sotto attacco.

Se il riscatto non viene pagato dalla vittima nella finestra di tempo richiesta, gli aggressori di LockBit 3.0 venderanno i dati che hanno rubato sul dark web ad altri criminali informatici. Questo può essere catastrofico sia per una singola vittima che per un'organizzazione.

Al momento in cui scrivo, LockBit 3.0 è particolarmente degno di nota sfruttare Windows Defender per distribuire Cobalt Strike, uno strumento di test di penetrazione in grado di ridurre i carichi utili. Questo software può anche causare una catena di infezioni da malware su più dispositivi.

In questo processo, viene sfruttato lo strumento della riga di comando MpCmdRun.exe in modo che l'attaccante possa decrittografare e avviare i beacon. Questo viene fatto inducendo il sistema a dare priorità e caricare una DLL dannosa (Dynamic-Link Library).

Il file eseguibile MpCmdRun.exe viene utilizzato da Windows Defender per cercare malware, proteggendo così il dispositivo da file e programmi dannosi. Dato che Cobalt Strike può aggirare le misure di sicurezza di Windows Defender, è diventato molto utile per gli aggressori di ransomware.

Questa tecnica è anche nota come side-loading e consente ai malintenzionati di ospitare o rubare dati dai dispositivi infetti.

Come evitare LockBit 3.0 ransomware

LockBit 3.0 è una preoccupazione crescente, specialmente tra le organizzazioni più grandi che hanno cumuli di dati che possono essere crittografati ed esfiltrati. è importante assicurarsi di stare alla larga da questo pericoloso tipo di attacco.

Per fare ciò, dovresti prima assicurarti di utilizzare password super sicure e l'autenticazione a due fattori su tutti i tuoi account. Questo ulteriore livello di sicurezza può rendere molto più difficile per i criminali informatici attaccarti utilizzando il ransomware. Ritenere Attacchi ransomware Remote Desktop Protocol, Per esempio. In uno scenario del genere, l'attaccante eseguirà la scansione di Internet per le connessioni RDP vulnerabili. Quindi, se la tua connessione è protetta da password e utilizza 2FA, è molto meno probabile che tu venga preso di mira.

Inoltre, dovresti sempre mantenere aggiornati i sistemi operativi e i programmi antivirus dei tuoi dispositivi. Gli aggiornamenti software possono richiedere molto tempo e essere frustranti, ma c'è un motivo per cui esistono. Tali aggiornamenti spesso includono correzioni di bug e funzionalità di sicurezza aggiuntive per proteggere i tuoi dispositivi e i tuoi dati, quindi non perdere l'opportunità di mantenere aggiornati i tuoi dispositivi.

Un'altra misura importante da adottare per non evitare attacchi ransomware, ma le loro conseguenze, è il backup dei file. A volte, gli aggressori ransomware tratterranno le informazioni cruciali di cui hai bisogno per vari motivi, quindi avere un backup riduce in una certa misura l'entità del danno. Le copie offline, come quelle archiviate su una chiavetta USB, possono essere preziose quando i dati vengono rubati o cancellati dal tuo dispositivo.

Misure post-infezione

Sebbene i suggerimenti di cui sopra possano proteggerti dal ransomware LockBit, c'è ancora una possibilità di infezione. Quindi, se scopri che il tuo computer è stato infettato da LockBit 3.0, è importante non agire in modo irrazionale. Ci sono passaggi che puoi seguire rimuovere il ransomware dal tuo dispositivo, che dovresti seguire da vicino e con attenzione.

Dovresti anche avvisare le autorità se sei caduto vittima di un attacco ransomware. Ciò aiuta le parti interessate a comprendere e affrontare meglio un determinato ceppo di ransomware.

Gli attacchi di LockBit 3.0 possono continuare

Nessuno sa quante altre volte il ransomware LockBit 3.0 verrà utilizzato per minacciare e sfruttare le vittime. Ecco perché è fondamentale proteggere i tuoi dispositivi e account in ogni modo possibile, in modo che i tuoi dati sensibili rimangano al sicuro.