Lockbit ransomware: le caratteristiche di un attacco

Il ransomware è un malware che impedisce agli utenti di accedere al proprio computer.
Le vittime dovranno pagare un riscatto per riottenere (forse) l’accesso ai propri dati.
Gli attacchi di ransomware non sono più una novità: esistono dalla fine degli anni Ottanta, quando il pagamento veniva effettuato tramite posta.

LockBit è uno fra i ransomware del 2021 e si rivolge principalmente ai sistemi IT aziendali, prendendo di mira i documenti sensibili.

In quest’articolo vedremo dunque cos’è, come funziona e come prevenire i tentativi di attacco di Lockbit ransomware.

LockBit è un ransomware che crittografa i dati.

Nella fase di crittografia, i file vengono rinominati con il suffisso “.abcd“. In una fase iniziale, Lockbit venne soprannominato esattamente ransomware “ABCD” mentre oggi ha raggiunto la sua versione più letale e mirata: Lockbit 3.0.
In ciascuna cartella rapita dal ransomware, viene inserito un file di testo denominato “Restore-My-Files.txt“.

La richiesta di riscatto è contenuta nel file di testo, che informa le vittime che i loro dati sono stati crittografati e offre indicazioni su come ripristinarli.
La dichiarazione contenuta in “Restore-My-Files.txt” indirizza i clienti a contattare gli sviluppatori LockBit utilizzando gli indirizzi e-mail forniti.
La lettera deve contenere il numero d’identificazione personale dell’utente che viene riportato nel file di testo ed è generato individualmente per ogni vittima.

I criminali de-crittograferanno un file crittografato allegato all’e-mail, dimostrando che il ripristino è possibile.
Questo file di prova verrà decrittografato gratuitamente, tuttavia non deve superare 1 MB di dimensione.

Gli utenti devono pagare il riscatto, tipicamente in criptovaluta Bitcoin, dopo aver convalidato la fattibilità del recupero, quindi otterranno gli strumenti/software di decrittazione. L’e-mail si conclude con un avvertimento, invitando le vittime a non rinominare i file crittografati o tentare la decrittografia manuale utilizzando strumenti di terze parti, altrimenti rischiano di perdere i propri dati in modo permanente.

Nella stragrande maggioranza degli attacchi ransomware, la decriptazione è difficile senza il coinvolgimento dei creatori del malware.
Tuttavia, è concepibile solo se il ransomware è ancora in fase di sviluppo e/o contiene vulnerabilità o problemi.

Una vola che ransomware Lockbit si trova all’interno del dispositivo non rimane che rimuoverlo manualmente con l’aiuto di professionisti della sicurezza informatica. Tuttavia, la rimozione del malware e la bonifica del dispositivo non ripristinerà i dati che sono già stati manomessi.

Trojan, campagne di spam, strumenti illeciti di attivazione di software (cracking), aggiornamenti fraudolenti e canali di distribuzione non affidabili sono i modi più comuni con cui si diffonde il LockBit ransomware.

Vediamoli insieme:

1. I trojan sono programmi dannosi che scaricano e installano altri software per creare un’infezione a catena.
2. Per trasmettere e-mail contenenti file pericolosi, vengono implementate campagne di spam su larga scala.
   Queste false comunicazioni sono spesso etichettate come “ufficiali”, “importanti”, “urgenti” o altre designazioni di posta prioritaria.
3. Gli allegati infetti sono disponibili in una varietà di forme, inclusi archivi ZIP e RAR, file eseguibili (.exe,.run), documenti Microsoft Office e PDF, JavaScript e altro ancora. L’infezione inizia quando i file vengono eseguiti o aperti in un altro modo. Invece di attivare il prodotto mirato, gli strumenti di attivazione illegale (“crack”) potrebbero scaricare e installare malware.
4. Gli aggiornamenti falsi influiscono sui computer sfruttando i difetti del software obsoleto e/o semplicemente installando applicazioni dannose al posto degli aggiornamenti promessi.
5. Le fonti inaffidabili includono reti di condivisione di file peer-to-peer (BitTorrent, eMule, Gnutella e altri), siti di hosting di file gratuiti e non autorizzati, downloader di terze parti e fonti simili. Di conseguenza, è più probabile che promuovano il download di contenuti dannosi (in genere mascherati da articoli legittimi e/o confezionati con essi).

LockBit si diffonde senza la necessità dell’interazione umana.

Gli attacchi sono per lo più diretti ad aziende grandi e ben organizzate; infatti, una volta che un singolo host è stato infettato, LockBit è in grado di rilevare host aggiuntivi, collegarsi per infettarli utilizzando uno script.

Un punto di forza di questa minaccia è l’uso di tecnologie di divulgazione intrinseche praticamente a tutti i sistemi, come Windows Powershell e SMB (Server Message Block).
Quindi, LockBit ransomware dispone di una funzione che gli consente di diffondersi autonomamente sui dispositivi collegati alla stessa rete.
Ciò è dovuto al fatto che, oltre a crittografare i dati sul computer infetto, LockBit invia query ARP per individuare altri host attivi sulla rete. Quando li individua, tenta di connettersi a essi tramite SMB.

LockBit utilizza un comando PowerShell remoto per scaricare e avviare il ransomware dopo che è stata stabilita la connessione SMB. Quando i computer della rete vengono infettati, il ransomware si diffonde più rapidamente sulla rete.
Questa strategia è letale perché più rapido è l’assalto alla rete, minori sono le possibilità che venga rilevato.

Infatti, è quasi improbabile che gli aggressori vengano identificati.

Gli attacchi LockBit possono essere caratterizzati come segue:

• Accesso iniziale
• Penetrazione
• Esfiltrazione

In questa prima fase, il Ransomware analizza la rete per identificare le aree deboli.

Il malware può infettare un’organizzazione utilizzando tecniche d’ingegneria sociale. L’attaccante si atteggia come dipendente affidabile al fine di richiede le credenziali di accesso al sistema. Un altro metodo consiste nell’invio di e-mail, in cui il malware accede ai server intranet e ai sistemi di rete di un’organizzazione tramite il download incluso nel testo dell’e-mail.

È necessaria una corretta configurazione della rete per evitare questi attacchi.

Da questo momento in poi il LockBit inizierà a operare in modo indipendente.

L’applicazione anticipa i passaggi necessari per crittografare le password. Durante questa fase, LockBit disabiliterà anche qualsiasi software di sicurezza o antivirus che potrebbe aiutare il ripristino del tuo dispositivo.
L’obiettivo dell’infiltrazione è rendere impossibile il recupero automatizzato o almeno ritardarlo fino al punto in cui l’unica opzione praticabile è pagare il riscatto. Una vittima ansiosa di riportare il sistema alla normalità è pronta a pagare il riscatto.

Infine, in questa fase arriveremo al payload crittografato.

Tutti i file di sistema sono protetti da password e possono essere sbloccati solo con una chiave speciale. Il malware si diffonde, una volta che la rete per la mobilitazione è pronta, infettando quante più macchine possibili.
Il rischio di questo Ransomware deriva dal fatto che, una volta infettato un singolo dispositivo, potrebbe iniziare a inviare ordini ad altre unità di rete, causando il download e l’esecuzione di LockBit.

La richiesta di riscatto, che potrebbe essere formulata in modo minaccioso, viene quindi lasciata in ogni cartella del sistema come file di testo.

Non un gruppo di sprovveduti, bensì un team di specialisti formato da circa una trentina di affiliati.
Un gruppo organizzato di black hat hacker specializzati in creazione di codice malevolo che vanta all’attivo un pacchetto di 2200 cyberattacchi conclusi con successo.

Gli attacchi ransomware sono progettati per crittografare i file anche su dispositivi di archiviazione esterni. Di conseguenza, è fondamentale isolare il dispositivo infetto quanto prima possibile.

Alcuni tipi di LockBit ransomware utilizzano comunicazioni di richieste di riscatto.
Questo è, tuttavia, un evento raro.

La maggior parte delle infezioni ransomware invia notifiche più semplici, ad esempio indicando che i dati sono stati crittografati e che le vittime devono pagare un riscatto. Il controllo dell’estensione del file, che viene aggiunto a ciascun file crittografato, è un altro approccio per rilevare un’infestazione da ransomware.

Questa strategia, tuttavia, è utile solo se la nuova estensione è unica; molti ransomware aggiungono un’estensione generica (ad esempio, “.encrypted“, “.enc“, “.crypted“, “.locked” e così via) . Dunque, diventa difficile identificare il malware utilizzando l’estensione aggiuntiva in tali circostanze.

Il sito Web ID Ransomware è uno dei modi più semplici e veloci per diagnosticare un attacco ransomware.

La maggior parte delle infestazioni di ransomware esistenti sono supportate da questo servizio. È sufficiente caricare la lettera di riscatto e un file crittografato. In pochi secondi, il ransomware viene scoperto e ti verrebbero fornite informazioni come il nome della famiglia di malware a cui appartiene l’infezione, e se è decifrabile.

Tra le prime cose da fare, nel caso in cui un dispositivo sia stato infettato, ci sono:

1. Disconnettere il dispositivo dalla rete

2. Scollegare tutti i dispositivi di archiviazione

3. Disconnettersi dagli account di archiviazione cloud

Per evitare invece questo tipo di aggressione, e proteggere i dati contenuti nei vari dispositivi, è fondamentale intraprendere queste azioni:

• Scegliere password aggiornate e complesse: molte violazioni degli account si verificano a causa di password sufficientemente basilari per essere identificate. È pertanto necessario utilizzare password sicure, come password più lunghe con variazioni di caratteri, e variarle periodicamente. Possono essere di aiuto in questo processo i generatori di password automatici.
• Autenticazione a più fattori: l’attivazione di questa procedura aiuta senza dubbio nel controllo e nella prevenzione di eventuali aggressioni, aumentando anche la difficoltà di accesso.
  L’accesso biometrico, ovvero l’autenticazione tramite impronte digitali, dispositivi OTP o chiavette USB, è ormai comunemente impiegato.
• Autorizzazioni diverse per ogni utente: per quanto la procedura possa sembrare a prima vista dispendiosa in termini di tempo e laboriosa, è necessario impostare quante più autorizzazioni possibili per evitare che eventuali pericoli non vengano rilevati. È necessario esaminare gli utenti degli endpoint e gli account con diritti a livello di amministratore. I database aziendali, come altri domini Web, piattaforme di collaborazione e riunioni, devono essere rigidamente controllati.
• Numero di account attivi: per evitare infiltrazioni di soggetti che sappiano accedere al sistema, i vecchi account o gli account del personali che non servono più l’organizzazione devono essere eliminati del tutto.
• Backup regolari: è di vitale importanza eseguire regolarmente il backup dei dati, sia online che offline, utilizzandole soluzioni di sicurezza più adatte all’azienda.

Se pensate che rimuovere dal dispositivo infetto da Lockbit il programma dannoso, sia sufficiente, purtroppo andrete incontro ad una grossa delusione.

Per liberarvi di Lockbit ransomware dovrete ripristinare il sistema, in quanto il decriptazione richiede una “chiave” per lo sblocco. <
In alternativa, può essere possibile ripristinare tutti i file tramite copie di backup precedenti all’infezione già esistenti.

In questo articolo ti abbiamo parlato di Ransomware Lockbit: cosa fare per proteggere un’azienda dalla minaccia. Tuttavia, sappiamo bene che la prudenza non basta. Ecco per quale motivo dovresti rivolgerti a noi.

Onorato Informatica è un’azienda specializzata in sicurezza informatica dal 2006. Siamo un’azienda informatica italiana di Mantova, Parma, Milano e Los Angeles.

Onorato Informatica è certificata ISO 9001 e ISO 27001 e nell’oggetto delle certificazioni sono inseriti anche i servizi di Vulnerability Assessment e Penetration Testing.