fbpx
Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy

LockBit 2.0: il ransomware che ha colpito Accenture. Pubblicati 2384 file.

Emanuele De Lucia : 11 Agosto 2021 16:09

A cura di: Emanuele De Lucia

Data Pubblicazione: 11/08/2021

Prova la Demo di Business Log! L'Adaptive SOC italiano

Log management non solo per la grande Azienda, ma una suite di Audit file, controllo USB, asset, sicurezza e un Security Operation Center PERSONALE, che ti riporta tutte le operazioni necessarie al tuo PC per tutelare i tuoi dati e informati in caso di problemi nel tuo ambiente privato o di lavoro.

Scarica ora la Demo di Business Log per 30gg

Promo Corso CTI

Come abbiamo pubblicato poco fa, il colosso Accenture è rimasto vittima di LockBit 2.0, un ransomware d’élite che ha riportato all’interno del suo blog nel dark web quanto segue:

“Queste persone sono al di là della privacy e della sicurezza. Spero che i loro servizi siano migliori di quello che abbiamo visto all’interno (dei loro sistemi, ndr). Se siete interessati ad acquistare i lotti di dati, contattateci”.

Poco dopo l’incidente, Accenture ha commentato:

“L’incidente è stato prontamente contenuto ed i server colpiti immediatamente isolati. Non c’è stato alcun impatto sulle operations di Accenture e sui sistemi dei nostri clienti”.

Ma alla scadenza dell’ultimatum, LockBit pubblica 2384 file i formato pdf sul suo blog.


File pubblicati sul blog di LockBit

iniziamo a prendere confidenza con LockBit e LockBit 2.0, un nuovo ransomware che sta mietendo molte vittime, oggetto anche di uno specifico avviso da parte del Cyber Center Australiano.

Nel mentre, scopriamo LockBit in questa analisi di Emanuele De Lucia.

Introduzione

LockBit è un ransomware relativamente nuovo che è diventato molto popolare e conosciuto in modo veloce. L’ecosistema dietro questa minaccia ha aumentato notevolmente le proprie attività criminali a partire dal Q4 del 2020 e da allora sta collezionando sempre più vittime.

Tecnicamente parlando, LockBit è un ransomware che opera in modalità SAR (Semi-Automated Ransomware) ed è in grado di rendere indisponibili files e documenti presenti

all’interno dei dispositivi che colpisce.

Ha la capacità di scansionare automaticamente la rete della vittima alla ricerca di potenziali obiettivi sensibili come condivisioni di rete, backup, documentazione riservata etc…

Lo scopo primario di una infezione da LockBit è quello di impattare quanto più possibile il business delle organizzazioni che colpisce al fine di spingerle strategicamente verso una trattativa dove il pagamento del riscatto risulti sempre la via più facile e sicura per garantire il ripristino delle attività.


Benchmark tra i ransomware maggiormente conosciuti sulla velocità di cifratura.

Modello di Business

LockBit adotta un modello di business definito R-a-a-S. Come nei corrispettivi modelli di mercato leciti chiamati SaaS (Software-as-aService), i creatori di LockBit, cioè coloro che sviluppano e mantengono il malware vero e proprio, affittano le loro “armi” (non solo il ransomware, ma anche 0-day, N-day, RAT, tools di post-intrusione, liste di accessi etc.etc.) a gruppi criminali affiliati, che quindi le useranno per portare a compimento gli attacchi.

Gli affiliati LockBit hanno la possibilità di accedere ad un pannello di amministrazione web mediante il quale possono generare in modo autonomo nuove varianti del ransomware, gestire le vittime, trattare i riscatti, ottenere statistiche, decifrare file e molto altro ancora.

Essi agiscono principalmente dalla Russia e dai Paesi dell’ex Unione Sovietica ed i payload LockBit implementano appositi controlli per fare in modo che il malware non possa colpire organizzazioni appartenenti a quest’ultimi paesi.

LockBit ha infettato nel mondo migliaia di dispositivi e quasi la totalità delle vittime sono imprese commerciali alle quali viene chiesta una cifra media che varia fra gli 80 ed i 100 mila dollari di riscatto.

Tale cifra può cambiare di molto in base alla tipologia ed al settore in cui opera la vittima. Va comunque specificato che il valore del riscatto viene sempre stabilito dall’affiliato a fronte di una specifica indagine compiuta in post-operazione.

LockBit generalmente predilige vittime operanti ai settori dei servizi specialistici.

Dove finisce il denaro virtuale dei riscatti?

Sono state eseguite nel tempo diverse analisi sui flussi di denaro relativi ai pagamenti in BitCoin ricevuti dal gruppo LockBit.

In almeno due casi è stato possibile evidenziare l’utilizzo di CoinJoin, un protocollo di miscelazione decentralizzato per valute virtuali che consente agli utenti di migliorare i livelli di privacy e anonimato, proteggendo le loro identità e transazioni monetarie da strumenti di analisi blockchain e bigdata.

Il denaro ricevuto è inoltre molto spesso convertito ulteriormente in altre valute virtuali (come ad esempio in Monero) utilizzando appositi servizi.

Conclusioni

LockBit rappresenta una minaccia molto importante oggi per organizzazioni pubbliche e private. Il suo ecosistema conta attualmente decine di affiliati e rappresenta sicuramente un gruppo d’élite all’interno del panorama criminale cyber (alla stessa stregua di REvil e Darkside, più volte trattati su questo blog che ad oggi sono scomparsi dalla scena).

Con moltissima probabilità LockBit continuerà ad essere migliorato e mantenuto con estrema cura, pertanto è consigliabile adottare ogni precauzione e pratica utile alla sua mitigazione.

Emanuele De Lucia
Laureato in Informatica (con master in Computer Security e un master alla Stanford University), ha lavorato come analista nel Security Operation Center (Se.OC o SOC) in una TELCO italiana e nel settore spaziale. Dirige un team internazionale di ricercatori focalizzato sulla Threat Intelligence, sul reverse engineering e la risposta agli incidenti.

Articoli in evidenza

Anonymous Italia risponde agli attacchi di NoName057(16). Deface contro siti russi!

Negli ultimi giorni, il collettivo hacktivista italiano Anonymous Italia ha risposto agli attacchi informatici sferrati dal gruppo filorusso NoName057(16) colpendo una serie di obiettivi russi. Gli at...

Windows sotto scacco: scoperta una vulnerabilità che bypassa tutte le attivazioni!

Gruppo di ricerca MASSGRAVE ha presentato un Exploit chiamato TSforge che consente di attivare qualsiasi versione di Windows a partire da Windows 7, nonché tutte le edizioni di Microsof...

220$ per entrare nella Polizia di Stato Italiana: l’inquietante offerta di EDRVendor

Su BreachForum un utente dallo pseudonimo EDRVendor ha venduto, dopo poche ore dall’annuncio, l’accesso ad una cassetta postale della polizia di stato italiana. Oltre alla mail viene off...

Google Scopre Triplestrength: il gruppo Ransomware che colpisce il Cloud per estrarre Criptovalute

Team di intelligence sulle minacce di Google ha reso pubblica l’informazione sul gruppo di hacker Triplestrength, finora sconosciuto, attivo dal 2020. Il gruppo è composto da poc...

NoName057(16) Cancellato da Telegram! Ma subito il “Reborn” Con Attacchi DDoS All’Italia!

I canali Telegram degli hacker filorussi di NoName057(16) sono stati eliminati da telegram. Ma subito gli attivisti ricreano nuovi canali marchiati con il suffisso “reborn“. Ma...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS

Copyright @ 2003 – 2024 REDHOTCYBER Srl
PIVA 17898011006