Red Hot Cyber

Sicurezza informatica, cybercrime, hack
news, e altro ancora
  • English

LockBit non colpisce la Russia e i paesi vicini. Eccone la prova.

Come spesso abbiamo riportato, le cybergang russe evitano che i loro malware colpiscano postazioni di lavoro o server che siano in Russia o nei paesi vicini.

Come molti ransomware, anche LockBit controlla le lingue del sistema prima di inziare il processo di crittografia, e questo è stato analizzato dal ricercatore Will Thomas, attraverso una analisi statica utilizzando IDA pro.

La banda LockBit (aka Bitwise Spider ), che operano in Ransomware-as-a-Service (#RaaS), sono apparsi per la prima volta nel settembre 2019 e nel giugno 2021 il gruppo è stato rinominato in LockBit 2.0, come hanno fatto molte altre bande nel 2021.

LockBit 2.0 è stato responsabile di vari attacchi di alto profilo nel 2021 in Italia e all’estero, dove spicca l’incidente informatico che ha colpito la ULSS6 Euganea di Padova e altre vittime di rilievo come ad esempio Accenture.

Advertisements

La versione rinominata di LockBit include diverse nuove funzionalità, tra cui l’auto-propagazione, la rimozione di copie shadow, il bypass del controllo dell’account utente (UAC), il supporto ESXi e la stampa di richieste di riscatto tramite stampanti rilevate sulla rete della vittima. 

Il gruppo è anche orgoglioso di avere la crittografia più veloce sul mercato dei ransomware. Questo perché utilizza un approccio multithread nella crittografia, crittografando parzialmente i file, poiché vengono crittografati solo 4 KB di dati per file.

LockBit 2.0 esegue le funzioni GetSystemDefaultUILanguage() e GetUserDefaultUILanguage() richiamandole per verificare se la lingua dell’interfaccia utente predefinita del sistema o dell’utente risulti all’interno di un elenco predefinito riportato di seguito:

  • Azerbaigian (Cirillico, Azerbaigian),
  • Azerbaigian (Latino, Azerbaigian)
  • Armeno (Armenia)
  • Bielorusso (Bielorussia)
  • Georgiano (Georgia)
  • Kazako (Kazakistan)
  • Kirghizistan (Kirghizistan)
  • Russo (Moldavia)
  • Russo (Russia)
  • Tagikistan (cirillico, Tagikistan)
  • Turkmeno (Turkmenistan)
  • Uzbeko (cirillico, Uzbekistan)
  • Uzbeko (latino, Uzbekistan)
  • Ucraino (Ucraina)

Come riportato nel blocco successivo di codice sorgente

Advertisements
testo alternativo
Esecuzione del test sulle lingue prelevate dal metodo GetSystemDefaultUILanguage()

Se l’utente o la lingua dell’interfaccia utente di sistema è nella lista nera, il malware esegue il metodo ExitProcess() e lo chiama per terminare automaticamente.

testo alternativo
Esecuzione di ExitProcess_1

Questa è la prova che dimostra come le cybergang ransomware, evitino di aggredire organizzazioni residenti nella Federazione Russa o nei paesi vicini.

Questo è stato anche visto di recente all’interno della fuoriuscita dei dati relativi alle chat di Conti ransomware, e dei legami del consiglio direttivo della gang con il Cremlino.

Infatti, nel colloquio tra Stern e Professor, due membri direttivi della banda criminale Conti, si faceva riferimento a collegamenti con il noto gruppo di hacker national state Cozy Bear.

Advertisements

Nello specifico, il gruppo rappresentava i legami con Cozy Bear relativamente ad attività che avevano come obiettivo il furto della proprietà intellettuale relativa ai vaccini del COVID-19.