Una delle minacce informatiche più diffuse, che continua a colpire banche, aziende e anche enti pubblici. La gang del ransomware LockBit 3.0 ha messo a segno alcuni colpi eccellenti anche nelle ultime settimane, fra cui il presunto attacco all’Agenzia delle Entrate (che Sogei smentisce). Andiamo quindi a conoscere questi hacker e il loro modo di agire, per capire chi corre rischi e come difendersi.
Chi è la gang di LockBit e come funziona la nuova versione del ransomware
La prima volta che un’agenzia di sicurezza intercetta questa banda è il settembre 2019. Ma la notorietà per la ‘crew’ LockBit arriva nel febbraio 2020, continuando poi a crescere per i due anni successivi. Un gruppo di circa 25-30 hacker con competenze tecniche di rilievo e un modello di business quasi aziendale. Ci sono infatti diversi esperti fra le fila di LockBit, con programmatori, esperti nella raccolta di informazioni, maestri dell’evasione dei sistemi di rilevamento.
Le operazioni concluse sono migliaia, con circa 70-80 vittime annue per affiliato. Stando all’analisi di Cyble, un terzo esatto (33,3%) delle vittime fa parte del sistema finanziario: banche, assicurazioni, agenzie di investimento. Seguono poi le aziende che forniscono servizi professionali (22,2%), ma non mancano anche gli enti pubblici.
Lo sanno bene i tecnici dell’Agenzia delle Entrate in Italia, che stanno indagando dopo che gli hacker hanno annunciato di aver sottratto 78GB di dati che minacciano di pubblicare entro 5 giorni. Sogei ha spiegato che non ha rilevato alcun intromissione, ma vista anche l’abilità a non lasciare tracce di LockBit, l’agenzia e la Polizia Postale continueranno le indagini.
Ransomware-as-a-Service
Il codice di LockBit risulta particolarmente ‘performante’ per gli standard degli hacker. Infatti è il più rapido a crittografare i file delle vittime e utilizza tattiche avanzate per diffondere i file pericolosi senza venir bloccato dagli esperti di sicurezza delle aziende. Questo rende particolarmente difficile accorgersi dell’attacco in corso, con l’IT aziendale che spesso può rispondere solo dopo che la gang ha rubato e crittato i file.
Per aggirare le sicurezza capita spesso che gli hacker assoldino persino collaboratori infedeli in aziende con il fine di bypassare le difese. E dall’anno scorso utilizzano un programma di bug bounty che premia con ricompense da mille a un milione di dollari chi fornisce l’accesso a determinati sistemi.
I criminali informatici possono permettersi tali ricompense perché hanno un modello di “ransomware-as-a-service” (RaaS). I malintenzionati che vogliono colpire un’azienda o un ente pubblico assoldano LockBit per sfruttare il loro codice e le loro risorse, pagando una quota. Questo porta a lavorare anche per ‘enti statali’ e per rivali di grandi compagnie, disposti a pagare cifre importanti per un risultato efficace. Ma anche criminali più ‘piccoli’ possono prendere versioni ‘base’ del ransomware in prestito per attaccare i propri bersagli. Flessibile e scalabile, come un buon software: ma pensato per il crimine.
Il ransomware LockBit 3.0
Quasi esattamente un anno fa, alla fine di giugno 2022, gli hacker avevano lanciato la nuova versione del ransomware: LockBit 3.0. Un segno della rapida evoluzione di questa gang di cybercriminali. Nel 2019 la versione nota come ABCD, poi rinominata LockBit come la gang, sapeva crittografare i dati come ogni ransomware. Ma la versione 2.0, uscita a giugno 2021, ha nuove funzionalità. Permette per esempio di cancellare le copie shadow di Windows e i vari log di sistema, rendendo pressoché impossibile recuperare i dati.
La nuova versione, come detto, offre un programma di Bug Bounty per trovare modi di accedere ai server delle aziende e degli enti. Inoltre, con LockBit 3.0 la gang predispone un sito TOR dove pubblicare i dati delle vittime se non pagano il riscatto: è da qui che i ricercatori hanno scoperto l’attacco all’Agenzia delle Entrate.
Le vittime possono andare su questo sito per scegliere ‘come pagare’. Infatti spesso gli hacker lasciano l’opzione di estendere l’ultimatum prima della pubblicazione di un giorno, oppure di cancellare tutte le informazioni o scaricarle se vogliono chiudere la vicenda. Tutto in automatico sul sito, come se fosse la più normale delle operazioni online.
Al di là dell’irrobustimento degli strumenti di hackeraggio, quello che mostra il cambiamento di LockBit 3.0 è lo stile da sito business. Facendo quasi passare il ransomware come un pratica che fa parte dei costi di fare impresa.
Chi sono gli hacker del ransomware LockBit
Un’analisi del codice di LockBit 2.0 ha dimostrato come il ransomware, fra le varie operazioni che compie per intrappolare i vostri dati e rubarli, ce n’è una particolare. Che non serve davvero a chiedere il riscatto. Infatti il ransomware controlla la lingua predefinita del vostro sistema e, se si tratta del russo, interrompe l’attacco.
Questo ha fatto pensare gli esperti che si tratti di una gang russa. Avere le prove di un contatto con il Cremlino è praticamente impossibile. Tuttavia il fatto che risparmi i russi fa pensare che ci possa essere una sorta di accordo fra i cybercriminali e le autorità di Mosca. Se nessuna aziende russa subisce attacchi, le forse dell’ordine russe non indagano la vicenda. Sono tutte ipotesi, cui però gli esperti di sicurezza sembrano dar credito.
Come difendersi
Per gli operatori di cybersecurity, potete trovare un’analisi dettagliata di come funziona LockBit per poter elaborare la miglior strategia di difesa. Ma la verità è che funzionando come ransomware-as-a-service, utilizza moltissimi vettori di attacco. E la capacità di crittare file su diversi sistemi operativi (c’è anche una versione per i server Linux), tempi di crittografia rapidissimi e l’abilità dei cybercriminali che ci lavorano rende complicato organizzare una difesa.
Le aziende dovrebbero puntare sulla sicurezza dei backup, magari con soluzioni che li tengano offline oppure che li distribuiscano efficacemente su cloud. Inoltre, un approccio “Zero Trust” potrebbe limitare i danni in caso di breccia. I singoli dipendenti devono invece prestare le solite attenzioni di cybersecurity ormai da dare per scontate: attenzione agli allegati email e ai siti, utilizzare autenticazione a due fattori dove possibile e un password manager in ogni caso. Insomma: provare a rendere il lavoro più difficile agli hacker.
Ma probabilmente per fermare gli hacker occorrerebbe un’operazione coordinata, che forse dopo gli attacchi degli ultimi mesi i governi potrebbero mettere in pratica. Ad oggi quasi la metà degli attacchi ransomware arrivano da LockBit, il fatto che ci sia bisogno di un intervento è evidente. Ma l’operazione per fermarli sembra molto complicata.
Vi terremo informati, ma purtroppo dubitiamo che smetteremo di parlare di LockBit nel giro di poche settimane.
- ESCLUSIVA AMAZON: ricevi 3 mesi aggiuntivi al tuo abbonamento annuale per un totale di 15 mesi
- McAfee Total Protection offre protezione tutto in uno - Antivirus, sicurezza e protezione della privacy e...
- Verifica l’integrità della tua protezione online - Il nostro punteggio di protezione, unico nel settore, identifica...
Rimani aggiornato seguendoci su Google News!
Da non perdere questa settimana su Techprincess
🚪 La pericolosa backdoor di Linux, disastro sventato da un solo ricercatore
🎶Streaming Farms: il lato oscuro della musica, tra ascolti falsi e stream pompati
✈️Abbiamo provato DJI Avata 2: sempre più divertente!
✒️ La nostra imperdibile newsletter Caffellattech! Iscriviti qui
🎧 Ma lo sai che anche Fjona ha la sua newsletter?! Iscriviti a SuggeriPODCAST!
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
💌 Risolviamo i tuoi problemi di cuore con B1NARY
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸E trovi un po' di offerte interessanti su Telegram!
