Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 3 Febbraio 2023 08:45
Il famigerato gruppo ransomware LockBit cambia pelle, aggiornando il suo malware inglobando il codice del suo acerrimo rivale: Conti ransomware.
Diversi gruppi di sicurezza informatica hanno confermato che LockBit sta ora utilizzando un ransomware chiamato LockBit Green, che secondo gli analisti si basa sul codice sorgente del ransomware Conti trapelato nel 2022.
Le ragioni di questo passaggio sembrerebbero puramente speculative, poiché tutti i ricercatori concordano sul fatto che LockBit 3.0 ha funzionato bene. Una possibile spiegazione è che dopo la scomparsa di Conti, molti criminali informatici che si sono uniti a LockBit, si sentono più a loro agio nell’usare il loro vecchio codice sorgente.
CORSO NIS2 : Network and Information system 2
La direttiva NIS2 rappresenta una delle novità più importanti per la sicurezza informatica in Europa, imponendo nuovi obblighi alle aziende e alle infrastrutture critiche per migliorare la resilienza contro le cyber minacce.
Con scadenze stringenti e penalità elevate per chi non si adegua, comprendere i requisiti della NIS2 è essenziale per garantire la compliance e proteggere la tua organizzazione.
Accedi All'Anteprima del Corso condotto dall'Avv. Andrea Capelli sulla nostra Academy e segui l'anteprima gratuita.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
I ricercatori hanno sottolineato che LockBit Green è la terza versione del popolare ransomware, dove le varianti precedenti sono tracciate come LockBit Red e LockBit Black. Gli affiliati di RaaS della banda possono ottenere LockBit Green utilizzando la funzione builder sul portale LockBit.
Conti è stata una delle varianti di ransomware più popolari nei mesi precedenti l’invasione russa dell’Ucraina.
Tuttavia, nei primi giorni di guerra, il gruppo criminale informatico ha espresso il suo sostegno al Cremlino, pubblicando un messaggio sul suo sito Web decretando una successiva fuoriuscita di dati da un affiliato infedele.
I ricercatori di vx-underground hanno notato che la banda LockBit ha modificato la loro variante ransomware dandogli la possibilità di lavorare su VMware ESXI. Questo miglioramento non è sorprendente perché negli ultimi mesi abbiamo osservato un aumento degli attacchi ransomware diretti ai server ESXi.
“Poiché la virtualizzazione è alla base di qualsiasi distribuzione su larga scala di risorse informatiche e di archiviazione, non sorprende che gli attori del ransomware abbiano ampliato i propri obiettivi per includere i server di virtualizzazione: con un singolo attacco è possibile chiudere interi data center e colpire storage virtualizzato condiviso tra i carichi di lavoro, con effetti devastanti”
ha riferito VMware.
Antonio Cocomazzi di SentinelOne ha riportato che solo una piccolissima parte del codice sorgente è stata modificata per allinearsi al marchio LockBit, come il componente utilizzato per la generazione della richiesta di riscatto.
La richiesta di riscatto per LockBit Green è identica a quella utilizzata dalla versione LockBit Black. Il nome del file della richiesta di riscatto è stato modificato in “!!!-Restore-My-Files-!!!.txt”.
“Adattare il codice sorgente di concorrenti affidabili, come l’ormai defunto Conti, aiuta ad abbassare i costi e i tempi di sviluppo per il modello RaaS consentendo agli operatori di massimizzare la loro velocità di rilascio per attrarre nuovi affiliati”
conclude Cocomazzi.
RedazionePer anni, Reddit è rimasto uno dei pochi angoli di Internet in cui era possibile discutere in tutta sicurezza di qualsiasi argomento, dai videogiochi alle criptovalute, dalla politica alle teorie...
Le autorità statunitensi continuano a cercare soluzioni per fermare la fuga di chip avanzati verso la Cina, nonostante le rigide restrizioni all’esportazione in vigore. Il senatore Tom Cot...
Il gruppo Qilin, da noi intervistato qualche tempo fa, è in cima alla lista degli operatori di ransomware più attivi nell’aprile 2025, pubblicando i dettagli di 72 vittime sul suo sit...
Gli autori della minaccia collegati all’operazione ransomware Play hanno sfruttato una vulnerabilità zero-day in Microsoft Windows prima della sua correzione, avvenuta l’8 aprile 20...
È stata individuata una campagna di phishing mirata agli utenti SPID dal gruppo del CERT-AgID, che sfrutta indebitamente il nome e il logo della stessa AgID, insieme al dominio recentemente regis...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
