Tra i ransomware più comuni del 2022 figura senza dubbio Lockbit.

Scoperto a settembre 2019, ha compiuto progressi significativi nell’arco di un solo anno, con il rilascio di Lockbit 2.0 nel 2021 e Lockbit 3.0 a metà del 2022.

In questo articolo esamineremo: le caratteristiche di Lockbit 3.0, cos’è cambiato rispetto alle precedenti versioni e quali misure di prevenzione poter adottare per fronteggiarlo.

lockbit 3.0
  1. Lockbit 3.0, che cos’è?
  2. Evoluzione di Lockbit 3.0: cosa è cambiato
  3. Come funziona un attacco Lockbit 3.0?
  4. Misure di prevenzione

Lockbit 3.0, che cos’è?

Il primo esemplare di ransomware Lockbit è stato scoperto per la prima volta nel settembre 2019. Tuttavia, la sua popolarità è esplosa nel 2021 con il rilascio di Lockbit 2.0.

Venduto sul dark web come Ransomware-as-a-Service, attualmente rappresenta la minaccia ransomware più diffusa a livello globale.

Si stima, infatti, che circa il 45% degli attacchi porti proprio la sua firma.

Dal punto di vista organizzativo e di business, Lockbit è gestito a livello centrale da una cybergang russa, ma può contare su una rete capillare di affiliati.

Dalla sua nascita ad oggi, ha preso di mira diverse aziende in tutto il mondo, con una media di circa un centinaio all’anno.

Tra queste, più del 50% è rappresentato da istituti bancari, assicurativi, agenzie d’investimento. Questo perché sono quelle potenzialmente più disposte a sborsare ingenti somme di denaro per il pagamento dei riscatti.

Tuttavia, tra le vittime non mancano agenzie governative ed enti pubblici, nonché singoli utenti privati.

Un caso eclatante in Italia è stato l’attacco Lockbit all’Agenzia delle Entrate, avvenuto nel luglio del 2022 e rivendicato con un annuncio di estorsione di 78 gigabite di dati.

Dalle rilevazione effettuate dalla Polizia Postale è emerso che l’attacco non ha intaccato direttamente l’infrastruttura IT dell’agenzia fiscale italiana, ma account utente ad essa collegati.

Evoluzione di Lockbit 3.0: cosa è cambiato

Dal punto di vista tecnico, Lockbit ha subito diversi aggiornamenti nel corso degli anni.

Il primo esemplare, risalente al 2019, al pari di qualsiasi altro ransomware, era essenzialmente in grado di crittografare i file.

Già a partire da Lockbit 2.0 sono state implementate funzionalità aggiuntive.

Tra quelle più rilevanti, figurano sicuramente l’impiego di initial access broker affiliati, i quali si occupano di rivendere credenziali di accesso rubate, e Stealbit, programma dannoso in grado di:

  • esfiltrare rapidamente i dati prima che vengano crittografati
  • eludere i sistemi di rilevamento nascondendo i messaggi di errore che la sua stessa esecuzione potrebbe far visualizzare

Dopodiché il malware provvede alla cancellazione delle copie shadow di Windows e dei file di log di sistema, rendendo di fatto i file del tutto irrecuperabili.

In pratica, con Lockbit 2.0 il ransomware adotta a pieno titolo la strategia a doppia estorsione, la quale non si limita semplicemente a crittografare i file, ma provvede anche alla loro eliminazione.

Per quanto riguarda Lockbit 3.0, bisogna innanzitutto tenere presente che ha conservato tutte le funzionalità presenti nella versione precedente.

Come novità più rilevante vi è l’introduzione di un programma di Bug Bounty, tipicamente utilizzato dagli hacker white hat per scansionare i sistemi e rilevare eventuali bug e vulnerabilità informatiche.

Così facendo, il ransomware può tranquillamente sfruttarle a proprio vantaggio per

  • muoversi lateralmente nella rete
  • mettere in atto un processo di privilege escalation per acquisire accesso privilegiato alle risorse

Come altri aspetti rilevanti della versione 3.0, si possono sottolineare:

  • l’essere configurato come un malware autoreplicante, quindi in grado di diffondere in autonomia copie del proprio codice malevolo
  • l’installazione di servizi di sistema, che gli permettono di ottenere persistenza, ovvero di permanere all’interno del device o dell’infrastruttura anche dopo la sua stessa esecuzione
  • la capacità di eludere i tradizionali sistemi di rilevamento come antivirus e antispam

Inoltre, il processo crittografico è incredibilmente rapido. Stando alle stime dei ricercatori, i payload del ransomware sono stati in grado di crittografare completamente il loro host di test in meno di un minuto.

Come funziona un attacco Lockbit 3.0?

Di norma, un attacco ransomware Lockbit 3.0 può essere suddiviso in tre fasi principali:

  1. Accesso iniziale
  2. Penetrazione
  3. Esfiltrazione

Analizziamole in dettaglio.

Accesso iniziale

Per il primo accesso, l’attaccante solitamente sfrutta

Dopo aver stabilito il suo punto d’appoggio iniziale, il ransomware è pronto ad infettarne i dispositivi.

Penetrazione

Come già puntualizzato, il malware Lockbit utilizza una varietà di procedure automatizzate per diffondersi autonomamente e ottenere l’accesso tramite escalation di privilegi e movimenti laterali.

Per installare correttamente la componente crittografica, prepara prima la macchina disattivando qualsiasi software di sicurezza o altre misure difensive.

Esfiltrazione

Dopo aver completato con successo le fasi di attacco e penetrazione, il ransomware si installa nel registro di Windows. Rilascia, quindi, il suo payload crittografico che sfrutta la coppia di chiavi di sessione ECC (Curve25519).

L’obiettivo principale di questo passaggio è crittografare velocemente tutti i file di sistema, così da rendere la vittima incapace di riaccedere ai propri dati e costringerla al pagamento del riscatto.

Come mossa finale, l’attaccante rilascia una lettera di riscatto con le istruzioni su come riottenere l’accesso ai dati.
Solitamente lo comunica sostituendo lo sfondo del desktop con un semplice messaggio di testo su sfondo scuro.

Per adempiere al pagamento, le vittime sono quindi invitate a mettersi in contatto con gli aggressori di tramite il sito web Lockbit, ospitato sulla rete TOR.

Misure di prevenzione

Riportiamo di seguito alcuni consigli su come arginare la minaccia Lockbit 3.0:

  • utilizzare l’autenticazione a due fattori può essere particolarmente utile per proteggersi dagli attacchi ransomware, poiché rende più difficile per gli hacker accedere ai dati o criptare i file delle vittime. Se gli hacker riescono a ottenere l’accesso a un account con solo la password, non saranno in grado di accedere senza anche la seconda forma di autenticazione
  • eseguire il backup regolarmente: è importante eseguire il backup dei dati regolarmente, in modo da avere sempre a disposizione le versioni più aggiornate di file e dati. In caso di attacco di ransomware, infatti, queste copie di backup potrebbero essere utilizzate per ripristinare i sistemi senza essere costretti a pagare il riscatto
  • applicare la segmentazione di rete: I sistemi che contengono dati sensibili possono essere isolati in uno specifico segmento di rete. In questo modo, se il ransomware dovesse diffondersi in altre aree dell’infrastruttura IT, i sistemi sensibili sarebbero protetti
  • limitare l’accesso ai sistemi solo agli utenti autorizzati. In questo modo, il ransomware potrebbe trovare difficile diffondersi ai sistemi protetti da queste restrizioni di accesso
  • utilizzare password sicure: le password deboli sono uno dei principali punti d’ingresso per gli attacchi di Lockbit. È importante utilizzare password sicure e uniche per ogni account e cambiarle regolarmente.

Non da ultimo, educare e rendere consapevoli gli utenti su come identificare ed evitare gli attacchi Lockbit – e le minacce ransomware in generale -può contribuire notevolmente ad arginare il rischio d’infezione.