Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

LockBit non colpisce la Russia e i paesi vicini. Eccone la prova.

Redazione RHC : 21 Marzo 2022 13:17

Come spesso abbiamo riportato, le cybergang russe evitano che i loro malware colpiscano postazioni di lavoro o server che siano in Russia o nei paesi vicini.

Come molti ransomware, anche LockBit controlla le lingue del sistema prima di inziare il processo di crittografia, e questo è stato analizzato dal ricercatore Will Thomas, attraverso una analisi statica utilizzando IDA pro.

La banda LockBit (aka Bitwise Spider ), che operano in Ransomware-as-a-Service (#RaaS), sono apparsi per la prima volta nel settembre 2019 e nel giugno 2021 il gruppo è stato rinominato in LockBit 2.0, come hanno fatto molte altre bande nel 2021.

Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi (o persone di qualsiasi età) alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)
    •
    Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    LockBit 2.0 è stato responsabile di vari attacchi di alto profilo nel 2021 in Italia e all’estero, dove spicca l’incidente informatico che ha colpito la ULSS6 Euganea di Padova e altre vittime di rilievo come ad esempio Accenture.

    La versione rinominata di LockBit include diverse nuove funzionalità, tra cui l’auto-propagazione, la rimozione di copie shadow, il bypass del controllo dell’account utente (UAC), il supporto ESXi e la stampa di richieste di riscatto tramite stampanti rilevate sulla rete della vittima. 

    Il gruppo è anche orgoglioso di avere la crittografia più veloce sul mercato dei ransomware. Questo perché utilizza un approccio multithread nella crittografia, crittografando parzialmente i file, poiché vengono crittografati solo 4 KB di dati per file.

    LockBit 2.0 esegue le funzioni GetSystemDefaultUILanguage() e GetUserDefaultUILanguage() richiamandole per verificare se la lingua dell’interfaccia utente predefinita del sistema o dell’utente risulti all’interno di un elenco predefinito riportato di seguito:

    • Azerbaigian (Cirillico, Azerbaigian),
    • Azerbaigian (Latino, Azerbaigian)
    • Armeno (Armenia)
    • Bielorusso (Bielorussia)
    • Georgiano (Georgia)
    • Kazako (Kazakistan)
    • Kirghizistan (Kirghizistan)
    • Russo (Moldavia)
    • Russo (Russia)
    • Tagikistan (cirillico, Tagikistan)
    • Turkmeno (Turkmenistan)
    • Uzbeko (cirillico, Uzbekistan)
    • Uzbeko (latino, Uzbekistan)
    • Ucraino (Ucraina)

    Come riportato nel blocco successivo di codice sorgente

    testo alternativo
    Esecuzione del test sulle lingue prelevate dal metodo GetSystemDefaultUILanguage()

    Se l’utente o la lingua dell’interfaccia utente di sistema è nella lista nera, il malware esegue il metodo ExitProcess() e lo chiama per terminare automaticamente.

    testo alternativo
    Esecuzione di ExitProcess_1

    Questa è la prova che dimostra come le cybergang ransomware, evitino di aggredire organizzazioni residenti nella Federazione Russa o nei paesi vicini.

    Questo è stato anche visto di recente all’interno della fuoriuscita dei dati relativi alle chat di Conti ransomware, e dei legami del consiglio direttivo della gang con il Cremlino.

    Infatti, nel colloquio tra Stern e Professor, due membri direttivi della banda criminale Conti, si faceva riferimento a collegamenti con il noto gruppo di hacker national state Cozy Bear.

    Nello specifico, il gruppo rappresentava i legami con Cozy Bear relativamente ad attività che avevano come obiettivo il furto della proprietà intellettuale relativa ai vaccini del COVID-19.

    Redazione
    La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

    Lista degli articoli

    Articoli in evidenza

    Buon World Password Day! Tra MIT, Hacker, Infostealer e MFA. Perchè sono così vulnerabili

    Domani celebreremo uno degli elementi più iconici – e al tempo stesso vulnerabili – della nostra vita digitale: la password. Da semplice chiave d’accesso inventata negli anni...

    Benvenuti su Mist Market: dove con un click compri droga, identità e banconote false

    Ci sono luoghi nel web dove la normalità cede il passo all’illecito, dove l’apparenza di un marketplace moderno e funzionale si trasforma in una vetrina globale per ogni tipo di rea...

    La Cina Accusa la NSA di aver usato Backdoor Native su Windows per hackerare i Giochi Asiatici

    Le backdoor come sappiamo sono ovunque e qualora presenti possono essere utilizzate sia da chi le ha richieste ma anche a vantaggio di chi le ha scoperte e questo potrebbe essere un caso emblematico s...

    WindTre comunica un DataBreach che ha coinvolto i sistemi dei rivenditori

    Il 25 febbraio 2025 WindTre ha rilevato un accesso non autorizzato ai sistemi informatici utilizzati dai propri rivenditori. L’intrusione, riconosciuta come un’azione malevola, è st...

    Non sono ancora chiari i motivi del grande blackout in Spagna e Portogallo

    Ancora non sono chiari i motivi che hanno causato un grave Blackout in Spagna e Portogallo nelle ultime ore. Vaste aree sono rimaste senza energia elettrica, scatenando un’ondata di speculazion...

    Categorie
    Segui i corsi di ethical hacking di CyberSecurityUP
    Banner
    Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

    PRINCIPALI CATEGORIE
    Attacchi Informatici Italiani
    Dark Web & Cybercrime
    0day, bug e Vulnerabilità
    Hacking
    Cybersecurity Italia
    Cyberpolitica & Intelligence

    RISORSE
    Academy
    Rubriche
    Il manifesto di Red Hot Cyber
    Feed RSS
    Contatti

    Copyright @ REDHOTCYBER Srl
    PIVA 17898011006