LockBit cambia pelle e passa a Green per abbassare i costi di gestione

Il famigerato gruppo ransomware LockBit cambia pelle, aggiornando il suo malware inglobando il codice del suo acerrimo rivale: Conti ransomware.

Diversi gruppi di sicurezza informatica hanno confermato che LockBit sta ora utilizzando un ransomware chiamato LockBit Green, che secondo gli analisti si basa sul codice sorgente del ransomware Conti trapelato nel 2022.

Le ragioni di questo passaggio sembrerebbero puramente speculative, poiché tutti i ricercatori concordano sul fatto che LockBit 3.0 ha funzionato bene. Una possibile spiegazione è che dopo la scomparsa di Conti, molti criminali informatici che si sono uniti a LockBit, si sentono più a loro agio nell’usare il loro vecchio codice sorgente.

I ricercatori hanno sottolineato che LockBit Green è la terza versione del popolare ransomware, dove le varianti precedenti sono tracciate come LockBit Red e LockBit Black. Gli affiliati di RaaS della banda possono ottenere LockBit Green utilizzando la funzione builder sul portale LockBit.

Conti è stata una delle varianti di ransomware più popolari nei mesi precedenti l’invasione russa dell’Ucraina.

Tuttavia, nei primi giorni di guerra, il gruppo criminale informatico ha espresso il suo sostegno al Cremlino, pubblicando un messaggio sul suo sito Web decretando una successiva fuoriuscita di dati da un affiliato infedele.

I ricercatori di vx-underground hanno notato che la banda LockBit ha modificato la loro variante ransomware dandogli la possibilità di lavorare su VMware ESXI. Questo miglioramento non è sorprendente perché negli ultimi mesi abbiamo osservato un aumento degli attacchi ransomware diretti ai server ESXi.

“Poiché la virtualizzazione è alla base di qualsiasi distribuzione su larga scala di risorse informatiche e di archiviazione, non sorprende che gli attori del ransomware abbiano ampliato i propri obiettivi per includere i server di virtualizzazione: con un singolo attacco è possibile chiudere interi data center e colpire storage virtualizzato condiviso tra i carichi di lavoro, con effetti devastanti”

ha riferito VMware.

Antonio Cocomazzi di SentinelOne ha riportato che solo una piccolissima parte del codice sorgente è stata modificata per allinearsi al marchio LockBit, come il componente utilizzato per la generazione della richiesta di riscatto. 

La richiesta di riscatto per LockBit Green è identica a quella utilizzata dalla versione LockBit Black. Il nome del file della richiesta di riscatto è stato modificato in “!!!-Restore-My-Files-!!!.txt”.

“Adattare il codice sorgente di concorrenti affidabili, come l’ormai defunto Conti, aiuta ad abbassare i costi e i tempi di sviluppo per il modello RaaS consentendo agli operatori di massimizzare la loro velocità di rilascio per attrarre nuovi affiliati”

conclude Cocomazzi.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Pietro Melillo

Membro e Riferimento del gruppo di Red Hot Cyber Dark Lab, è un ingegnere Informatico specializzato in Cyber Security con una profonda passione per l’Hacking e la tecnologia, attualmente CISO di WURTH Italia, è stato responsabile dei servizi di Cyber Threat Intelligence & Dark Web analysis in IBM, svolge attività di ricerca e docenza su tematiche di Cyber Threat Intelligence presso l’Università del Sannio, come Ph.D, autore di paper scientifici e sviluppo di strumenti a supporto delle attività di cybersecurity. Dirige il Team di CTI "RHC DarkLab"

Aree di competenza: Cyber Threat Intelligence, Ransomware, Sicurezza nazionale, Formazione