Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Select language
English Spanish
Cerca
Red Hot Cyber Academy

Alla scoperta di LockBit 2.0. Tra modello RaaS, affiliati e TTPs.

Redazione RHC : 6 Febbraio 2022 15:49

La gang LockBit 2.0, la incontriamo spesso nei nostri articoli, soprattutto nelle violazioni delle aziende italiane dove risulta molto prolifica. Infatti, in Italia il gruppo ransomware ha violato tutti i tipi di azienda, partendo dalle grandi organizzazioni sanitarie come la ULLS6, per arrivare alle piccole/medi imprese private come la MECFOND, la MCS Morandi, la Ponte Marmi, la Pietro Isnardi, fino alle grandi come la ERG, Acquazzurra.

Chi è LockBit Ransomware

LockBit 2.0 opera in modalità Ransomware-as-a-Service (RaaS), un modello basato su affiliazione e impiega un’ampia varietà di tattiche, tecniche e procedure (TTP), creando sfide significative per la difesa e la mitigazione da parte delle aziende. LockBit 2.0 ransomware compromette le reti delle vittime attraverso una varietà di tecniche, inclusi, a titolo esemplificativo:


Distribuisci i nostri corsi di formazione diventando un nostro Affiliato

Se sei un influencer, gestisci una community, un blog, un profilo social o semplicemente hai tanta voglia di diffondere cultura digitale e cybersecurity, questo è il momento perfetto per collaborare con RHC Academy. Unisciti al nostro Affiliate Program: potrai promuovere i nostri corsi online e guadagnare provvigioni ad ogni corso venduto. Fai parte del cambiamento. Diffondi conoscenza, costruisci fiducia, genera valore.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


  1. accesso acquisito da broker di accesso;
  2. vulnerabilità senza patch;
  3. utilizzo di insider (impiegati infedeli);
  4. exploit zero day.

Dopo aver compromesso una rete, gli attori malintenzionati di LockBit 2.0 utilizzano spesso strumenti disponibili pubblicamente come Mimikatz per aumentare i privilegi, su piattaforme Microsoft Windows.

Gli attori delle minacce utilizzano sia exploit disponibili pubblicamente che exploit personalizzati per esfiltrare i dati, i quali successivamente vengono cifrati utilizzando il malware Lockbit.


Schermata del software Mimikatz, utilizzato in normali attività di pentest.

Gli affiliati una volta cifrato il sistema, lascia una richiesta di riscatto in ciascuna directory interessata, la quale fornisce istruzioni su come ottenere il software di decrittazione.

Nel luglio 2021, LockBit 2.0 ha rilasciato un aggiornamento che prevedeva la crittografia automatica dei dispositivi tra domini Windows abusando dei criteri di gruppo di Active Directory. Ad agosto 2021, LockBit 2.0 ha iniziato a pubblicizzare il programma di affiliazione per stabilire l’accesso iniziale a potenziali reti di vittime, anche se i proventi normalmente arrivano solo ad attacco riuscito.

Anche per Linux

LockBit 2.0 ha anche sviluppato un Malware basato su Linux che sfrutta le vulnerabilità all’interno di VMWare ESXi virtual macchine. I dettagli tecnici descrivono il malware come un’applicazione ransomware fortemente offuscata che sfrutta operazioni per decodificare le stringhe e caricare i moduli necessari per eludere il rilevamento.

Se viene rilevata una lingua dell’Europa orientale, il programma esce senza infettare la vittima. All’inizio dell’infezione, Lockbit 2.0 elimina i file di registro e le copie shadow che risiedono sul disco. Lockbit 2.0 enumera le informazioni di sistema per includere

  1. nome host;
  2. configurazione host;
  3. informazioni di dominio;
  4. configurazione dell’unità locale;
  5. condivisioni remote e dispositivi di archiviazione esterni montati.

Lockbit 2.0 tenta di crittografare tutti i dati salvati su qualsiasi dispositivo locale o remoto ma ignora i file associati alle funzioni principali del sistema. Una volta completato, Lockbit 2.0 si cancella dal disco e crea persistenza all’avvio.

Modello di pubblicazione degli affiliati

Prima della crittografia, gli affiliati Lockbit utilizzano principalmente l’applicazione Stealbit ottenuta direttamente dal pannello Lockbit per esfiltrare tipi di file specifici. È possibile configurare i tipi di file desiderati dall’affiliato per adattare l’attacco alla vittima.

L’affiliato configura l’applicazione impostando un percorso file desiderato e, al momento dell’esecuzione, lo strumento copia i file su un server controllato dalla gang usando http. A causa della natura del modello di affiliazione, alcuni aggressori ne utilizzano altri strumenti disponibili come rclone e MEGAsync per ottenere gli stessi risultati.

Gli affiliati di Lockbit 2.0 utilizzano spesso servizi di condivisione di file pubblicamente disponibili, inclusi privatlab[.]net, anonfiles[.]com, sendspace[.]com, fex[.]net, transfer[.]sh e send.exploit[.]in. Mentre alcuni di queste applicazioni e servizi possono supportare scopi legittimi, possono anche essere utilizzati in attacchi informatici per aiutare la compromissione del sistema o nello svolgere movimenti laterali

Cosa puoi fare per mitigare un attacco

L’FBI, nel suo recente avviso, fornisce anche misure precauzionali che possono aiutare i difensori a proteggere le loro reti dai tentativi di attacco tramite ransomware LockBit:

  • Imposta su tutti gli account (ad es. account di servizio, account amministratore e account amministratore di dominio) password complesse e univoche;
  • Imposta l’autenticazione a più fattori ove possibile;
  • Mantieni aggiornati tutti i sistemi operativi e il software;
  • Rimuovi l’accesso non necessario alle condivisioni amministrative;
  • Utilizzare un firewall basato su host per consentire solo connessioni alle condivisioni amministrative tramite server message block (SMB) da un insieme limitato di macchine;
  • Abilita i file protetti nel sistema operativo Windows per impedire modifiche non autorizzate ai file critici.

Gli amministratori possono anche ostacolare gli sforzi di rilevamento della rete degli operatori di ransomware adottando queste misure:

  • Segmenta le reti per prevenire la diffusione di ransomware;
  • Identifica, rileva e indaga sulle attività anomale e sul potenziale attraversamento del ransomware indicato con uno strumento di monitoraggio della rete;
  • Implementa l’accesso basato sul tempo per gli account impostati a livello di amministratore e superiori;
  • Mantieni backup dei dati offline e mantieni regolarmente un backup e un ripristino;
  • Assicurati che tutti i dati di backup siano crittografati, immutabili, i quali coprano l’intera infrastruttura dell’organizzazione.

Tra i dettagli tecnici su come funziona LockBit ransomware, l’FBI ha anche rivelato che il malware viene fornito con una finestra di debug nascosta che può essere attivata durante il processo di infezione utilizzando la scorciatoia da tastiera SHIFT + F1.

Una volta visualizzato, può essere utilizzato per visualizzare informazioni in tempo reale sul processo di crittografia e tracciare lo stato di distruzione dei dati dell’utente.

Il pagamento del riscatto

L’FBI ha anche aggiunto che non incoraggia il pagamento di riscatti e ne sconsiglia le aziende poiché non è garantito che il pagamento li proteggerà da attacchi futuri o fughe di dati.

Inoltre, cedere alle richieste delle bande di ransomware finanzia ulteriormente le loro operazioni e le motiva a prendere di mira più vittime. Incoraggia anche altri gruppi di criminalità informatica a unirsi a loro nella conduzione di attività illegali.

Nonostante ciò, l’FBI ha riconosciuto che le ricadute di un attacco ransomware potrebbero costringere le aziende a considerare il pagamento di riscatti per proteggere azionisti, clienti o dipendenti. Le forze dell’ordine raccomandano vivamente di segnalare tali incidenti a un ufficio locale dell’FBI .

Anche dopo aver pagato un riscatto, l’FBI esorta ancora a segnalare tempestivamente gli incidenti ransomware in quanto queste segnalazioni possono fornire informazioni critiche alle forze dell’ordine per prevenire futuri attacchi monitorando gli aggressori ransomware e ritenendoli responsabili delle loro azioni.

Fonte

https://www.redhotcyber.com/wp-content/uploads/attachments/220204.pdf

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Cyberattack in Norvegia: apertura forzata della diga evidenzia la vulnerabilità dei sistemi OT/SCADA

Nel mese di aprile 2025, una valvola idraulica di una diga norvegese è stata forzatamente aperta da remoto per diverse ore, a seguito di un attacco informatico mirato. L’episodio, riportat...

Un milione di Lead Italiani del 2025 in vendita nelle underground. Per un Phishing senza domani!

Sul forum underground russo XSS è apparso un post che offre una “Collection di Lead Verificati Italia 2025” con oltre 1 milione di record. Questo tipo di inserzioni evidenzia la con...

Cyber War: la guerra invisibile nel cyberspazio che decide i conflitti del presente

Nel cuore dei conflitti contemporanei, accanto ai carri armati, ai droni e alle truppe, si combatte una guerra invisibile, silenziosa e spesso sottovalutata: la cyber war. Non è solo uno scenario...

Un Hacker divulga i dati sensibili dei politici spagnoli. Coinvolto anche il premier Pedro Sánchez

Le autorità iberiche sono impegnate in un’indagine riguardante un pirata informatico che ha divulgato informazioni sensibili relative a funzionari pubblici e figure politiche di spicco. Tr...

Arriva Skynet: il malware che Colpisce l’Intelligenza Artificiale!

Un insolito esempio di codice dannoso è stato scoperto in un ambiente informatico reale , che per la prima volta ha registrato un tentativo di attacco non ai classici meccanismi di difesa, ma dir...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006