Redazione RHC : 3 Febbraio 2023 08:45
Il famigerato gruppo ransomware LockBit cambia pelle, aggiornando il suo malware inglobando il codice del suo acerrimo rivale: Conti ransomware.
Diversi gruppi di sicurezza informatica hanno confermato che LockBit sta ora utilizzando un ransomware chiamato LockBit Green, che secondo gli analisti si basa sul codice sorgente del ransomware Conti trapelato nel 2022.
Le ragioni di questo passaggio sembrerebbero puramente speculative, poiché tutti i ricercatori concordano sul fatto che LockBit 3.0 ha funzionato bene. Una possibile spiegazione è che dopo la scomparsa di Conti, molti criminali informatici che si sono uniti a LockBit, si sentono più a loro agio nell’usare il loro vecchio codice sorgente.
PARTE LA PROMO ESTATE -40%
RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!
Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
I ricercatori hanno sottolineato che LockBit Green è la terza versione del popolare ransomware, dove le varianti precedenti sono tracciate come LockBit Red e LockBit Black. Gli affiliati di RaaS della banda possono ottenere LockBit Green utilizzando la funzione builder sul portale LockBit.
Conti è stata una delle varianti di ransomware più popolari nei mesi precedenti l’invasione russa dell’Ucraina.
Tuttavia, nei primi giorni di guerra, il gruppo criminale informatico ha espresso il suo sostegno al Cremlino, pubblicando un messaggio sul suo sito Web decretando una successiva fuoriuscita di dati da un affiliato infedele.
I ricercatori di vx-underground hanno notato che la banda LockBit ha modificato la loro variante ransomware dandogli la possibilità di lavorare su VMware ESXI. Questo miglioramento non è sorprendente perché negli ultimi mesi abbiamo osservato un aumento degli attacchi ransomware diretti ai server ESXi.
“Poiché la virtualizzazione è alla base di qualsiasi distribuzione su larga scala di risorse informatiche e di archiviazione, non sorprende che gli attori del ransomware abbiano ampliato i propri obiettivi per includere i server di virtualizzazione: con un singolo attacco è possibile chiudere interi data center e colpire storage virtualizzato condiviso tra i carichi di lavoro, con effetti devastanti”
ha riferito VMware.
Antonio Cocomazzi di SentinelOne ha riportato che solo una piccolissima parte del codice sorgente è stata modificata per allinearsi al marchio LockBit, come il componente utilizzato per la generazione della richiesta di riscatto.
La richiesta di riscatto per LockBit Green è identica a quella utilizzata dalla versione LockBit Black. Il nome del file della richiesta di riscatto è stato modificato in “!!!-Restore-My-Files-!!!.txt”.
“Adattare il codice sorgente di concorrenti affidabili, come l’ormai defunto Conti, aiuta ad abbassare i costi e i tempi di sviluppo per il modello RaaS consentendo agli operatori di massimizzare la loro velocità di rilascio per attrarre nuovi affiliati”
conclude Cocomazzi.
RedazioneDiversi bug di sicurezza di alta gravità sono stati risolti da Mozilla con il rilascio di Firefox 142, impedendo a malintenzionati di eseguire in remoto codice a loro scelta sui sistemi coinvolti...
In data odierna – avverte il Cert-AGiD – sono pervenute segnalazioni da parte di Pubbliche Amministrazioni riguardo a una campagna malevola mirata diffusa in queste ore. Email malevola L...
Un’implementazione di sicurezza urgente è stata distribuita da Apple per iOS e iPadOS al fine di sanare una falla critica zero-day. Questa vulnerabilità, riconosciuta con l’ide...
Un esperto di sicurezza informatica ha individuato falle zero-day che coinvolgono undici noti gestori di password, mettendo a rischio potenzialmente decine di milioni di utenti per il furto di credenz...
Un Initial Access Broker mette in vendita accesso ai server di Nike USA in un celebre forum underground. Un post apparso recentemente su un forum del dark web ha sollevato nuove preoccupazioni in meri...
