Se ti tieni aggiornato sulle minacce alla sicurezza informatica, probabilmente sei consapevole di quanto sia diventato pericolosamente popolare il ransomware. Questo tipo di malware è un'enorme minaccia sia per gli individui che per le organizzazioni, con alcuni ceppi che ora stanno diventando la scelta migliore per gli attori malintenzionati, incluso LockBit.
Quindi, cos'è LockBit, da dove viene e come puoi proteggerti da esso?
Cos'è LockBit Ransomware?
Sebbene LockBit sia nato come un unico ceppo di ransomware, da allora si è evoluto più volte, con l'ultima versione nota come "LockBit 3.0" (di cui parleremo un po' più avanti). LockBit comprende una famiglia di programmi ransomware, che operano utilizzando il Ransomware come servizio (RaaS) modello.
Ransomware-as-a-Service è un modello di business che prevede che gli utenti paghino per l'accesso a un determinato tipo di ransomware in modo che possano utilizzarlo per i propri attacchi. In questo modo, gli utenti diventano affiliati e il loro pagamento può comportare una tariffa fissa o un servizio in abbonamento. In breve, i creatori di LockBit hanno trovato un modo per trarre ulteriore profitto dal suo utilizzo utilizzando questo modello RaaS e possono persino ricevere una parte del riscatto pagato dalle vittime.
È possibile accedere a numerosi altri programmi ransomware tramite il modello RaaS, inclusi DarkSide e REvil. Accanto a questi, LockBit è uno dei tipi di ransomware più popolari utilizzati oggi.
Dato che LockBit è una famiglia di ransomware, il suo utilizzo prevede la crittografia dei file di un bersaglio. I criminali informatici si infiltreranno nel dispositivo di una vittima in un modo o nell'altro, ad esempio tramite e-mail di phishing o malware allegato e utilizzerà quindi LockBit per crittografare tutti i file sul dispositivo in modo che siano inaccessibili al file utente.
Una volta che i file della vittima sono stati crittografati, l'attaccante chiederà un riscatto in cambio della chiave di decrittazione. Se la vittima non rispetta e paga il riscatto, è probabile che l'attaccante venderà i dati sul dark web a scopo di lucro. A seconda di quali siano i dati, ciò può causare danni irreversibili alla privacy di un individuo o di un'organizzazione, il che può aumentare la pressione del pagamento del riscatto.
Ma da dove viene questo ransomware altamente pericoloso?
Le origini di LockBit Ransomware
Non si sa esattamente quando è stato sviluppato LockBit, ma la sua storia riconosciuta risale al 2019, quando è stato trovato per la prima volta. Questa scoperta è arrivata dopo la prima ondata di attacchi di LockBit, quando il ransomware è stato inizialmente coniato "ABCD" in riferimento al nome dell'estensione dei file crittografati sfruttati durante gli attacchi. Ma quando gli aggressori hanno iniziato a utilizzare l'estensione del file ".lockbit", il nome del ransomware è cambiato in quello che è oggi.
La popolarità di LockBit è aumentata dopo lo sviluppo della sua seconda iterazione, LockBit 2.0. Alla fine del 2021, LockBit 2.0 è stato sempre più utilizzato dagli affiliati per gli attacchi e, dopo la chiusura di altri gruppi di ransomware, LockBit è stato in grado di sfruttare il divario nel mercato.
In effetti, il maggiore utilizzo di LockBit 2.0 ha consolidato la sua posizione come "il più efficace e ampiamente distribuito variante di ransomware che abbiamo osservato in tutte le violazioni di ransomware durante il primo trimestre del 2022", secondo un Relazione Palo Alto. Inoltre, Palo Alto ha dichiarato nello stesso rapporto che gli operatori di LockBit affermano di avere il software di crittografia più veloce di qualsiasi ransomware attualmente attivo.
Il ransomware LockBit è stato individuato in più nazioni in tutto il mondo, tra cui Cina, Stati Uniti, Francia, Ucraina, Regno Unito e India. Anche numerose grandi organizzazioni sono state prese di mira utilizzando LockBit, tra cui Accenture, una società di servizi professionali irlandese-americana.
Accenture ha subito una violazione dei dati a seguito dell'uso di LockBit nel 2021, con gli aggressori che hanno chiesto un enorme riscatto di 50 milioni di dollari, con oltre 6 TB di dati crittografati. Accenture non ha accettato di pagare questo riscatto, anche se la società ha affermato che nessun cliente era stato colpito dall'attacco.
LockBit 3.0 e i suoi rischi
Con l'aumento della popolarità di LockBit, ogni nuova iterazione è una seria preoccupazione. L'ultima versione di LockBit, nota come LockBit 3.0, è già diventata un problema, in particolare all'interno dei sistemi operativi Windows.
Nell'estate 2022, LockBit 3.0 era utilizzato per caricare carichi utili Cobalt Strike dannosi su dispositivi mirati attraverso lo sfruttamento di Windows Defender. In questa ondata di attacchi, è stato abusato un file della riga di comando eseguibile noto come MpCmdRun.exe, in modo che i beacon Cobalt Strike possano aggirare il rilevamento della sicurezza.
LockBit 3.0 è stato utilizzato anche nello sfruttamento di una riga di comando VMWare nota come VMwareXferlogs.exe per distribuire ancora una volta i payload di Cobalt Strike. Non è noto se questi attacchi continueranno o si evolveranno in qualcos'altro.
È evidente che LockBit ransomware è ad alto rischio, come nel caso di molti programmi ransomware. Quindi, come puoi tenerti al sicuro?
Come proteggersi da LockBit Ransomware
Dato che LockBit ransomware deve essere prima presente sul tuo dispositivo per crittografare i file, devi provare a tagliarlo alla fonte e prevenire del tutto l'infezione. Sebbene sia difficile garantire la tua protezione contro il ransomware, puoi fare molto per evitare il più possibile.
In primo luogo, è essenziale non scaricare mai file o programmi software da siti che non sono del tutto legittimi. Scaricare qualsiasi tipo di file non verificato sul tuo dispositivo può consentire a un attaccante ransomware di accedere facilmente ai tuoi file. Assicurati di utilizzare solo siti affidabili e ben recensiti per i tuoi download o app store ufficiali per l'installazione del software.
Un altro fattore da notare è che il ransomware LockBit è spesso diffusione tramite Remote Desktop Protocol (RDP). Se non utilizzi questa tecnologia, non devi preoccuparti di questo puntatore. Tuttavia, se lo fai, è importante proteggere la tua rete RDP utilizzando la protezione tramite password, VPN e disattivando il protocollo quando non è direttamente in uso. Gli operatori di ransomware spesso scansionano Internet alla ricerca di connessioni RDP vulnerabili, quindi l'aggiunta di ulteriori livelli di protezione renderà la tua rete RDP meno suscettibile agli attacchi.
Il ransomware può essere diffuso anche tramite il phishing, una modalità di infezione e furto di dati incredibilmente popolare utilizzata da attori malintenzionati. Il phishing viene comunemente implementato tramite e-mail, in cui l'attaccante allegherà un collegamento dannoso al corpo dell'e-mail su cui convincerà la vittima a fare clic. Questo collegamento condurrà a un sito Web dannoso che può facilitare l'infezione da malware.
È possibile evitare il phishing in diversi modi, compreso l'uso di funzionalità di posta elettronica anti-spam, siti Web di controllo dei collegamentie software antivirus. Dovresti anche verificare l'indirizzo del mittente di qualsiasi nuova e-mail e cercare errori di battitura all'interno delle e-mail (poiché le e-mail truffa sono spesso disseminate di errori di ortografia e grammatica).
LockBit continua a essere una minaccia globale
LockBit continua ad evolversi e prendere di mira sempre più vittime: questo ransomware non andrà da nessuna parte presto. Per proteggerti da LockBit e dal ransomware in generale, considera alcuni dei suggerimenti di cui sopra. Anche se potresti pensare che non diventerai mai un bersaglio, è sempre saggio prendere comunque le precauzioni necessarie.