La diffusione di LockBit 2.0
LockBit è un ransomware relativamente nuovo che è diventato molto popolare e conosciuto in poco tempo. L’ecosistema dietro questa minaccia ha aumentato notevolmente le proprie attività criminali a partire dal Q4 del 2020 e da allora sta collezionando sempre più vittime.
Cos’è Lockbit
Tecnicamente parlando, LockBit è un ransomware che opera in modalità SAR (Semi-Automated Ransomware) ed è in grado di rendere indisponibili files e documenti presenti all’interno dei dispositivi che colpisce.
Ha la capacità di scansionare automaticamente la rete della vittima alla ricerca di potenziali obiettivi sensibili come condivisioni di rete, backup, documentazione riservata etc …
Lo scopo primario di una infezione da LockBit è quello di impattare quanto più possibile il business delle organizzazioni che colpisce al fine di spingerle strategicamente verso una trattativa dove il pagamento del riscatto risulti sempre la via più facile e sicura per garantire il ripristino delle attività.
Modello di Business
LockBit adotta un modello di business definito “Ransomware as a Service” (RaaS). Come nei corrispettivi modelli di mercato leciti chiamati SaaS (Software-as-a-Service), i creatori di LockBit, cioè coloro che sviluppano e mantengono il malware vero e proprio, affittano le loro “armi” (non solo il ransomware, ma anche 0-day, N-day, RAT, tools di post-intrusione, liste di accessi etc.) a gruppi criminali affiliati, che quindi le useranno per portare a compimento gli attacchi.
Gli affiliati LockBit hanno la possibilità di accedere ad un pannello di amministrazione web mediante il quale possono generare in modo autonomo nuove varianti del ransomware, gestire le vittime, trattare i riscatti, ottenere statistiche, decifrare file e molto altro ancora.
Essi agiscono principalmente dalla Russia e dai Paesi dell’ex Unione Sovietica ed i payload LockBit implementano appositi controlli per fare in modo che il malware non possa colpire organizzazioni appartenenti a quest’ultimi paesi.
LockBit ha infettato nel mondo migliaia di dispositivi e quasi la totalità delle vittime sono imprese commerciali alle quali viene chiesta una cifra media che varia fra gli 80 ed i 100 mila dollari di riscatto.
Tale cifra può cambiare di molto in base alla tipologia ed al settore in cui opera la vittima.
Va comunque specificato che il valore del riscatto viene sempre stabilito dall’affiliato a fronte di una specifica indagine compiuta in post-operazione.
I criteri di gruppo permettono la diffusione del ransomware
Il ransomware LockBit può diffondersi in una rete locale attraverso i criteri di gruppo creati su un controller di dominio hackerato.
La creazione di ransomware è diventata un’industria sotterranea qualche tempo fa, con servizi di supporto tecnico, centri stampa e campagne pubblicitarie.
Come per qualsiasi altra industria, creare un prodotto competitivo richiede un miglioramento continuo.
LockBit, per esempio, è l’ultimo di una serie di gruppi di criminali informatici che pubblicizzano la capacità di automatizzare l’infezione dei computer locali attraverso un controller di dominio.
Come accennato, LockBit segue il modello Ransomware as a Service (RaaS), fornendo ai suoi clienti (i veri attaccanti) l’infrastruttura e il malware, e ricevendo una quota del riscatto.
Irrompere nella rete della vittima è responsabilità del contraente, e per quanto riguarda la distribuzione del ransomware attraverso la rete, LockBit ha progettato una tecnologia abbastanza interessante.
La distribuzione di LockBit 2.0
Dopo che i cybercriminali ottengono l’accesso alla rete e raggiungono il controller di dominio eseguono il loro malware sullo stesso, creando nuovi criteri di gruppo utenti, che vengono poi automaticamente distribuite ad ogni dispositivo della rete.
I suoi criteri logici prima disabilitano la tecnologia di sicurezza integrata nel sistema operativo, mentre gli altri, invece, creano una direttiva su tutti i dispositivi Windows per avviare l’eseguibile del ransomware.
Secondo il ricercatore Vitali Kremez, il ransomware utilizza l’API di Windows Active Directory per eseguire query LDAP (Lightweight Directory Access Protocol) per ottenere un elenco di computer.
LockBit 2.0 quindi bypassa il controllo dell’account utente (UAC) e viene eseguito silenziosamente, senza innescare alcun allarme sul dispositivo cifrato.
Apparentemente, questo rappresenta la prima diffusione in assoluto di un malware di massa attraverso i criteri di gruppo utenti.
Inoltre, LockBit 2.0 consegna le note di riscatto in modo piuttosto bizzarro, inserendo la nota su tutte le stampanti collegate alla rete.
Come ci si protegge da minacce simili?
Bisogna tenere a mente che un controller di dominio è in realtà un server Windows e, come tale, ha bisogno di protezione.
Ad ogni modo, il ransomware che si diffonde attraverso i criteri di gruppo rappresenta l’ultima fase di un attacco.
L’attività dannosa dovrebbe diventare evidente molto prima, per esempio quando i criminali informatici entrano per la prima volta nella rete o tentano di hackerare il controller di dominio.
Le soluzioni Managed Detection and Response sono particolarmente efficaci nel rilevare i segni di questo tipo di attacco.
La cosa più importante è che i cybercriminali spesso usano tecniche di ingegneria sociale ed e-mail di phishing per ottenere l’accesso iniziale.
Nel caso delle imprese, per evitare che i propri dipendenti cadano in questi trucchi, occorre migliorare la loro consapevolezza della sicurezza informatica con una formazione regolare.
LockBit rappresenta una minaccia molto importante oggi per organizzazioni pubbliche e private.
Il suo ecosistema conta attualmente decine di affiliati e rappresenta sicuramente un gruppo d’élite all’interno del panorama criminale cyber (alla stessa stregua di REvil e DarkSide).
Con moltissima probabilità LockBit continuerà ad essere migliorato e mantenuto con estrema cura, pertanto è consigliabile adottare ogni precauzione e pratica utile alla sua mitigazione.