Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 20 Febbraio 2024 07:15
Le infrastrutture di LockBit 3.0, la più grande operazione di ransomware as a service (RaaS), questa mattina riportano un iconica immagine dove si legge: “Questo sito è ora sotto il controllo delle forze dell’ordine”. Più precisamente viene riportato che “Questo sito è ora sotto il controllo della National Crime Agency del Regno Unito che lavora in stretta collaborazione con l’FBI e la task force internazionale delle forze dell’ordine nell’Operazione Cronos” e che “Possiamo confermare che i servizi di Lockbit sono stati interrotti a seguito dell’azione delle forze dell’ordine internazionali: si tratta di un’operazione in corso e in via di sviluppo. Torna qui per ulteriori informazioni su: 11:30 GMT di martedì 20 febbraio.”
Nell’ambito di un’operazione internazionale congiunta, le autorità hanno annunciato la chiusura del data leak site associato alla cybergang ransomware LockBit. Questo “colpo grosso” rappresenta un significativo successo nella lotta contro il ransomware e solleva domande cruciali sullo stato attuale della gang criminale.
LockBit, è un noto attore nel mondo del ransomware che è stato intervistato da Red Hot Cyber un anno fa. Opera tramite un modello di Ransomware-as-a-Service (RaaS), permettendo ad altri criminali informatici di utilizzare la propria infrastruttura per condurre attacchi ransomware in cambio di una percentuale dei profitti. La chiusura del data leak site, una piattaforma utilizzata per pubblicare e vendere i dati rubati delle vittime, rappresenta un duro colpo per l’operatività della gang.
Sei un Esperto di Formazione?
Entra anche tu nel Partner program!
Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.
Per ulteriori informazioni, scrivici ad [email protected] oppure su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Tuttavia, rimane da chiarire se questa chiusura rappresenti un semplice contrattempo per LockBit o se sia indicativa di uno smantellamento più ampio della gang stessa. Le autorità stanno attualmente investigando e capiremo tra qualche tempo l’entità dell’impatto subito da parte dei criminali informatici sulle loro operazioni.
Al momento sembra che l’infrastruttura di LockBit risulti parzialmente disconnessa. Ad esempio tutti i mirror del data leak site risultano offline mentre ancora funzionano parti dell’infrastruttura, come ad esempio la parte della pubblicazione dei dati ottenuti a seguito degli attacchi ransomware.
Nel mentre LockBit invia a tutti i suoi affiliati una comunicazione dove riporta quanto segue:
Oggetto: Avviso di sicurezza importante da parte di Lockbit Azione richiesta
Caro stimato affiliato,
Ti contattiamo per informarti di un recente incidente di sicurezza che potrebbe aver avuto ripercussioni sulla tua vita personale informazione. Lockbit prende sul serio la sicurezza dei tuoi dati e ci impegniamo a mantenerli più alti standard di protezione dei dati.
Quello che è successo?
Il nostro team ha recentemente rilevato un accesso non autorizzato ai nostri sistemi, che riteniamo sia stato effettuato da a gruppo noto come NCA. Dopo aver scoperto la violazione, abbiamo immediatamente avviato un'indagine con
l’assistenza di esperti di sicurezza informatica e abbiamo adottato misure per proteggere la nostra rete.
Quali informazioni erano coinvolte?
La violazione potrebbe aver comportato l'accesso a informazioni personali, inclusi nomi, indirizzi e-mail e password crittografate. Al momento non ci sono prove che dispongano di informazioni finanziarie o di previdenza sociale è stato effettuato l'accesso ai numeri.
Cosa stiamo facendo
In risposta a questo incidente, abbiamo:
- Implementato misure di sicurezza aggiuntive per prevenire future violazioni.
- Ci siamo impegnati con altri operatori e criminali informatici per indagare sulla violazione.
- Fornito servizi gratuiti di monitoraggio del credito per 12 mesi alle persone colpite, per aiutare a proteggersi da eventuali rischi furto d'identità. Riceverai un'e-mail separata con le istruzioni su come attivare questo servizio.
Cosa puoi fare
Per proteggere ulteriormente le tue informazioni, ti consigliamo le seguenti azioni:
- Reimposta la tua password: cambia la password per il tuo account Lockbit e qualsiasi altro account in cui utilizzi password identiche o simili.
- Abilita l'autenticazione a più fattori (MFA): se non l'hai già fatto, lo invitiamo vivamente
- Consiglia di abilitare MFA sul tuo account Lockbit e altri account online. Questo aggiunge un extra livello di sicurezza oltre la semplice password.
- Monitora i tuoi conti: tieni d'occhio gli estratti conto e i rapporti di credito per eventuali attività insolita.
Per maggiori informazioni
Se avete domande o avete bisogno di ulteriore assistenza, non esitate a contattare il nostro cliente team di supporto all'indirizzo ****************.com o chiamaci al numero 1-900-LOCKBIT.
Siamo profondamente dispiaciuti per qualsiasi inconveniente o preoccupazione che questo incidente possa causarti. Lockbit si impegna a farlo migliorare continuamente le nostre misure di sicurezza e garantire l'integrità e la riservatezza dei tuoi dati.
Cordiali saluti,
La squadra Lockbit
Tale comunicazione sembra essere molto in linea con la comunicazioni standard che vediamo ogni giorno a seguito di attacchi informatici alle grandi aziende. Monitoraggio, analisi dettagliate e miglioramente, fanno sempre parte di una buona comunicazione di “crisis management” e lockbit, come ci ha insegnato, non è da meno a nessuno.
Parallelamente abbiamo provato a contattare lockbit tramite TOX, anche se al momento non sono risultati online:
La storia di LockBit risale al 2019, quando il ransomware è emerso sul panorama della minaccia informatica. Da allora, la gang ha perpetrato numerosi attacchi ransomware e si è costantemente rinnovata, prendendo di mira organizzazioni di varie dimensioni e settori in tutto il mondo. LockBit si distingue per la sua aggressività e per le richieste di riscatto elevate, spesso nell’ordine dei milioni di dollari.
Una delle tattiche distintive di LockBit è stata l’uso del cosiddetto “doppio estorsione”, in cui minacciavano di pubblicare i dati rubati online oltre a criptarli, aumentando così la pressione sulle vittime per il pagamento del riscatto. Questa strategia ha portato a un aumento significativo degli attacchi ransomware nel corso degli ultimi anni, con LockBit tra i protagonisti principali di questa tendenza.
La chiusura del data leak site di LockBit è un importante passo avanti nella lotta contro il ransomware e dimostra l’efficacia della cooperazione internazionale nel contrastare le minacce informatiche transnazionali. Tuttavia, resta ancora molto lavoro da fare per proteggere le organizzazioni dai futuri attacchi ransomware e per garantire che gruppi come LockBit non possano riprendersi facilmente dalle perdite subite.
Le autorità competenti continuano a monitorare da vicino la situazione e ad adottare misure per mitigare i rischi derivanti da tali minacce. In un contesto in cui la cybercriminalità è sempre più sofisticata e diffusa, la collaborazione tra governi, industria e organizzazioni internazionali rimane fondamentale per proteggere la sicurezza informatica globale.
Lockbit, ha già colpito numerose organizzazioni sia pubbliche che private in Italia, in tutte e tre le varianti ransomware rilevate.
Facendo riferimento alle organizzazioni private delle quali abbiamo parlato su Red Hot Cyber troviamo:
Invece per quanto concerne le azienda pubbliche abbiamo:
Il ransomware, è una tipologia di malware che viene inoculato all’interno di una organizzazione, per poter cifrare i dati e rendere indisponibili i sistemi. Una volta cifrati i dati, i criminali chiedono alla vittima il pagamento di un riscatto, da pagare in criptovalute, per poterli decifrare.
Qualora la vittima non voglia pagare il riscatto, i criminali procederanno con la doppia estorsione, ovvero la minaccia della pubblicazione di dati sensibili precedentemente esfiltrati dalle infrastrutture IT della vittima.
Per comprendere meglio il funzionamento delle organizzazioni criminali all’interno del business del ransomware as a service (RaaS), vi rimandiamo a questi articoli:
LockBit è una cyber gang criminale che adotta il modello ransomware-as-a-service (RaaS), anche se la sua struttura presenta variazioni che la differenziano da un tipico modello di affiliazione.
LockBit ransomware è un malware progettato per bloccare l’accesso degli utenti ai sistemi informatici in cambio di un pagamento di riscatto. Questo ransomware viene utilizzato per attacchi altamente mirati contro aziende e altre organizzazioni e gli “affiliati” di LockBit, hanno lasciato il segno minacciando le organizzazioni di tutto il mondo di ogni ordine e grado.
Si tratta del modello ransomware-as-a-service (RaaS) dove gli affiliati depositano del denaro per l’uso di attacchi personalizzati su commissione e traggono profitto da un quadro di affiliazione. I pagamenti del riscatto sono divisi tra il team di sviluppatori LockBit e gli affiliati attaccanti, che ricevono fino a ¾ dei fondi del riscatto.
E’ considerato da molte autorità parte della famiglia di malware “LockerGoga & MegaCortex”. Ciò significa semplicemente che condivide i comportamenti con queste forme consolidate di ransomware mirato ed ha il potere di auto-propagarsi una volta eseguito all’interno di una rete informatica.
LockBit è una cyber gang che restite da molto tempo nel mercato delle affiliazioni RaaS rinnovandosi costantemente. Ha iniziato le sue operazioni a settembre 2019 chiamandosi ABCD per poi cambiare il suo nome in Lockbit. Successivamente il marchio è stato rinominato in LockBit 2.0 apportando diverse novità e a giugno 2021, sono stati apportati dei cambiamenti introducendo la piattaforma Lockbit 3.0.
LockBit 3.0 introduce diverse novità, come una piattaforma di bug-hunting relativa alle infrastrutture utilizzate dalla gang, l’acquisto di criptovaluta, una nuova sezione per gli affiliati e ulteriori modi per monetizzare che possono essere sintetizzate in:
Ovviamente il costo per ogni tipologia di “servizio” è differente e si può pagare in Bitcoin o in Monero.
Redazione