Red Hot Cyber

La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed 
incentiva gli altri a fare meglio di te.

Cerca

lockbit 3.0

LockBit 3.0. La Cyber Gang Ransomware più Longeva e Dura da far Morire

Alessandro Rugolo : 7 Giugno 2024 10:37

LockBit 3.0 è il nome attribuito al gruppo di cyber criminali considerato più pericoloso nel panorama mondiale in merito agli attacchi ransomware. LockBit3 è anche il nome della attuale versione della piattaforma di ransomware as a service (RaaS).

La sua nascita si può far risalire al 2019, quando comparve sulla scena del ransomware con il nome di “ABCD” poi Lockbit. Nel giro di soli quattro anni LockBit è diventata la piattaforma di RaaS più utilizzata al mondo. Ricordiamo che Red Hot Cyber è stata una tra le poche riviste online che ha intervistato la cyberg gang, intervista che vi invitiamo a leggere

Come funziona il ransomware as a service?

Ricordiamo, solo per i lettori più distratti, che un attacco ransomware nella forma più semplice consiste nell’accedere ai dati di un computer o sistema e cifrare il contenuto. I dati risultano in questo modo inutilizzabili e l’attore malevolo può chiedere un riscatto, generalmente da pagare in bitcoin, per liberare (ovvero decifrare) i dati sequestrati, quindi presi in ostaggio.

Supporta Red Hot Cyber attraverso

Il RaaS è un modello di business criminale basato sul concetto di Software-as-a-Service (SaaS). Consiste nella vendita o affitto di licenze del ransomware a terzi, chiamati affiliati. In questo modo chi vuole compiere attacchi ransomware nei confronti di specifici target non necessita di eccessive competenze tecniche. Ciò ha portato, negli ultimi anni, ad una grande diffusione di questo modello e quindi di attacchi di tipo ransomware.

Esistono varianti di questo tipo di attacco, per esempio la cosiddetta “double extortion” in cui ai dati cifrati si aggiunge la minaccia di renderli pubblici e la “triple extortion” che consiste nell’esercitare diverse forme di pressione per ottenere il pagamento del riscatto.

La triple extortion infatti oltre a prevedere la cifratura dei dati e la richiesta del riscatto e la minaccia della pubblicazione, prevede altre forme di attività collaterali contro la vittima, come per esempio il DDoS verso i suoi servizi. Ultimamente esistono ulteriori forme di attacco, in cui si estende la richiesta di riscatto a terze parti in qualche modo legate con la vittima.

Per quanto riguarda il riscatto, questo viene generalmente spartito tra gli affiliati (chi effettua fisicamente l’attacco) e chi realizza il ransomware (gli sviluppatori e gestori del programma di affiliazione criminale).

LockBit 3 è stato debellato?

Nel 2022 a seguito di una richiesta dello stato francese, EUROPOL viene interessata per combattere la cybergang. Seguono una serie interminabile di riunioni di coordinamento tecnico, che portano, ad inizio 2024, all’annuncio del 20 febbraio di aver debellato la cybergang attraverso una operazione di polizia estesa, dove hanno collaborato molte Nazioni. L’operazione denominata Cronos ha permesso il sequestro di 34 servers dislocati sul territorio di varie nazioni (Olanda, Germania, Finlandia, Francia, Svizzera, Australia, Stati Uniti e Regno Unito). Si è potuto procedere all’arresto di due membri della cybergang, uno in Polonia ed uno in Ucraina e al sequestro di 200 account di cryptocurrency.

Sembrava, che la più pericolosa cybergang di sempre fosse stata debellata. Ma purtroppo non fu così. Anche perché poche ore dopo la chiusura del data leak site (chiamato anche sito della vergogna dove i criminali informatici pubblicano i dati privati delle aziende che sono state hackerate), lo stesso ritornò su poco dopo su altri server.

Ma se oggi, a soli due mesi di distanza, si va a vedere cosa sta accadendo nel mondo underground, ci si può facilmente rendere conto che le cose stanno diversamente. E’ sufficiente dare uno sguardo alle richieste di riscatto per rendersi immediatamente conto che LockBit3 è tutt’altro che defunto.

Qualche tempo dopo, le forze dell’ordine sequestrarono nuovamente le nuove infrastrutture IT della banda criminale nell’operazione Cronos 2, promettendo di fornire al mondo il nominativo di LockBitSupp, cosa che ancora risulta essere avvolta nel mistero. Assegnarono anche una taglia di 10 milioni di dollari a chi fornirà informazioni di prima mano sul vertice della gang.

Utilizzando un servizio tipo Ransomfeed ci accorgiamo che dall’inizio dell’anno ad oggi (25 maggio), dunque in cinque mesi, sono state registrate 409 richieste di riscatto da parte di LockBit3 a seguito di attacchi andati a buon fine, attestandosi anche quest’anno in testa alla classifica della Cyber gang più pericolosa.

E in Italia?

Anche l’Italia è tra le vittime di LockBit3. Lockbit, ha già colpito numerose organizzazioni sia pubbliche che private in Italia, in tutte e tre le varianti ransomware rilevate. Facendo riferimento alle organizzazioni private delle quali abbiamo parlato su Red Hot Cyber troviamo:

Invece per quanto concerne le azienda pubbliche abbiamo:

Da tenere sempre in considerazione che le vittime pubblicate sui data leak site (DLS) delle gang criminali è solo la punta dell’iceberg delle aziende violate in quanto quelle che hanno pagato il riscatto non verranno mai pubblicate all’intorno di queste pagine. Questo vuol dire che quello che noi vediamo è solo una piccola quota parte delle violazioni che ha effettuato la cyber gang.

VX-UNDERGROUND Diverso tempo fa riportò che erano 12.125 le organizzazioni violate da Lockbit, anche se sul suo data-leak-site (DLS) ne sono presenti in quel periodo solo 850. Facendo un rapido calcolo come riportato da vx-underground, 12.125 x un riscatto minimo come 100.000 dollari, fa la cifra di 1.212.500.000 dollari (approssimata per difetto).

Per nostra fortuna, in questo caso, non siamo gli Stati Uniti che registrano 167 attacchi andati a buon fine, ovvero il 41% degli attacchi totali.

Purtroppo il nostro tessuto sociale è molto vulnerabile ai cyberattacchi e se è vero che LockBit3 conta per il 3%, è anche vero che non si tratta dell’unico gruppo che agisce in questo modo, per cui le vittime di ransomware, quasi sempre PMI, nel 2024 sono state ben 53.

Come proteggersi?

Proteggersi dai ransomware è possibile ma richiede un mix di elementi che combinati assieme consentono di aumentare la sicurezza.

La prima regola è quella del Backup sempre efficiente e separato dalla rete. Se si è previdenti in caso di attacco ransomware sarà infatti possibile ripristinare i dati a partire dal backup. Avere il backup sempre disponibile è efficace contro la cifratura ma è solo una parte della soluzione, questo perchè attualmente la maggior parte degli attacchi i dati sensibili vengono anche esfiltrati e la minaccia di pubblicazione fa parte della strategia di attacco.

Mettere in piedi delle chiare policy di accesso e gestione dei dati sensibili. La conoscenza e gestione dei dati dell’organizzazione non può essere lasciata alla cura degli utenti. In particolare per quanto riguarda i dati sensibili.

Proteggere i sistemi utilizzando dispositivi fisici e software di varia natura ma gestiti unitamente per tenere sempre sotto controllo le reti e i sistemi. I firewall, soprattutto quelli di nuova generazione come i Web Application Firewall, sono una misura importante e consentono la raccolta di grandi quantità di dati.

Il monitoraggio continuo deve essere sempre una priorità.

I ransomware si impossessano dei dati e sistemi solo una volta che sono riusciti ad accedere al perimetro interno. Una delle tecniche più usate è ancora oggi il phishing dunque occorre istruire il proprio personale affinchè sia in grado di riconoscere tentativi di phishing nelle sue varie forme.

Preparare un piano di risposta ad un eventuale attacco ransomware consente di gestire l’emergenza e di evitare di prendere delle decisioni avventate. Di seguito delle buone best practices che possono consentire la riduzione drastica del fenomeno del ransomware:

  • Formare il personale attraverso corsi di Awareness;
  • Utilizzare un piano di backup e ripristino dei dati per tutte le informazioni critiche. Eseguire e testare backup regolari per limitare l’impatto della perdita di dati o del sistema e per accelerare il processo di ripristino. Da tenere presente che anche i backup connessi alla rete possono essere influenzati dal ransomware. I backup critici devono essere isolati dalla rete per una protezione ottimale;
  • Mantenere il sistema operativo e tutto il software sempre aggiornato con le patch più recenti. Le applicazioni ei sistemi operativi vulnerabili sono l’obiettivo della maggior parte degli attacchi. Garantire che questi siano corretti con gli ultimi aggiornamenti riduce notevolmente il numero di punti di ingresso sfruttabili a disposizione di un utente malintenzionato;
  • Mantenere aggiornato il software antivirus ed eseguire la scansione di tutto il software scaricato da Internet prima dell’esecuzione;
  • Limitare la capacità degli utenti (autorizzazioni) di installare ed eseguire applicazioni software indesiderate e applicare il principio del “privilegio minimo” a tutti i sistemi e servizi. La limitazione di questi privilegi può impedire l’esecuzione del malware o limitarne la capacità di diffondersi attraverso la rete;
  • Evitare di abilitare le macro dagli allegati di posta elettronicaSe un utente apre l’allegato e abilita le macro, il codice incorporato eseguirà il malware sul computer;
  • Non seguire i collegamenti Web non richiesti nelle e-mail;
  • Esporre le connessione Remote Desktop Protocol (RDP) mai direttamente su internet. Qualora si ha necessità di un accesso da internet, il tutto deve essere mediato da una VPN;
  • Implementare sistemi di Intrusion Prevention System (IPS) e Web Application Firewall (WAF) come protezione perimetrale a ridosso dei servizi esposti su internet.
  • Implementare una piattaforma di sicurezza XDR, nativamente automatizzata, possibilmente supportata da un servizio MDR 24 ore su 24, 7 giorni su 7, consentendo di raggiungere una protezione e una visibilità completa ed efficace su endpoint, utenti, reti e applicazioni, indipendentemente dalle risorse, dalle dimensioni del team o dalle competenze, fornendo altresì rilevamento, correlazione, analisi e risposta automatizzate.

Chi c’è dietro Lockbit 3.0?

Gli Stati Uniti nelle loro dichiarazioni ufficiali affermano che la cyber gang è di base in Russia. Un cittadino russo, Dmitry Yuryevich Khoroshev, è ricercato in quanto sviluppatore e distributore del ransomware e per il Dipartimento del Tesoro statunitense vale 10 milioni di Dollari!.

Sarà lui LockBitSupp? Al momento il tutto è ancora avvolto da una coltre spessa di mistero.

Alessandro Rugolo
Presidente di SICYNT -Società Italiana per lo sviluppo della cultura cyber e delle nuove tecnologie. Appassionato di nuove tecnologie, giornalismo e strategia. Autore di numerosi articoli, autore del libro "Il dominio Cyber". Coordinatore della rubrica cyber di Difesa Online. Socio del Centro Studi privacy e nuove tecnologie, del Centro Studi Esercito e di DeComponendisCifris. Colonnello dell'Esercito in riserva.
Visita il sito web dell'autore
Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

Redazione: [email protected]
© Copyright RED HOT CYBER. PIVA 16821691009