LockBit è il nuovo ransomware a noleggio


Il ransomware è emerso come una delle principali minacce per le grandi organizzazioni negli ultimi anni, secondo quanto riferito dai ricercatori più di un quadruplo aumento in rilevamenti l'anno scorso. Una recente infezione da parte di un ceppo abbastanza nuovo chiamato LockBit spiega perché: dopo aver saccheggiato la rete di una società scarsamente protetta nel giro di poche ore, i leader non hanno avuto altra scelta se non quella di pagare il riscatto.

ARS TECHNICA

Questa storia è originariamente apparsa Ars Technica, una fonte affidabile di notizie sulla tecnologia, analisi delle politiche tecnologiche, recensioni e altro. Ars è di proprietà della società madre WIRED, Condé Nast.

UN rapporto pubblicato da McAfee documenta l'efficacia di questo nuovo ransomware. Intervistatori di incidenti con Northwave Intelligent Security Operations aiutato nell'analisi. LockBit è più diffuso in paesi tra cui Stati Uniti, Regno Unito, Francia, Germania, Ucraina, Cina, India e Indonesia.

Gli aggressori sono partiti ricercando potenziali obiettivi con dati preziosi e i mezzi per effettuare grandi pagamenti di fronte alla debole prospettiva di perderne l'accesso. Gli aggressori hanno quindi utilizzato un elenco di parole nella speranza di ottenere l'accesso a uno degli account. Alla fine, hanno raggiunto il jackpot: un account amministrativo che aveva libero sfogo su tutta la rete. La password dell'account debole, unita alla mancanza di protezione dell'autenticazione a più fattori, ha fornito agli aggressori tutti i diritti di sistema di cui avevano bisogno.

Stealth, automazione e discrezione

Molti concorrenti LockBit come Ryuk fare affidamento su hacker umani vivi che, una volta ottenuto l'accesso, passare molto tempo rilevamento e rilevamento della rete di un target, prima di rilasciare il codice che lo crittograferà. LockBit ha funzionato diversamente.

"La parte interessante di questo pezzo di ransomware è che si sta auto-diffondendo completamente", ha affermato Patrick van Looy, uno specialista della sicurezza informatica della Northwave, una delle aziende che ha risposto all'infezione. “Quindi, l'attaccante è stato all'interno della rete solo per alcune ore. Normalmente vediamo che un attaccante è all'interno della rete per giorni o addirittura settimane e fa questa ricognizione della rete manualmente. "

Dopo essere entrato, LockBit ha usato un doppio metodo per mappare e infettare la rete vittimizzata. Le tabelle ARP, che associano gli indirizzi IP locali agli indirizzi MAC dei dispositivi, hanno aiutato a individuare i sistemi accessibili e blocco messaggi server, un protocollo utilizzato per la condivisione di file e cartelle tra macchine in rete, ha permesso ai nodi infetti di connettersi a quelli non infetti. LockBit eseguirà quindi uno script PowerShell che diffonde il ransomware su tali macchine.

L'uso di SMB, tabelle ARP e PowerShell è un modo sempre più comune di diffondere malware in una rete e con buone ragioni. Poiché quasi tutte le reti fanno affidamento su questi strumenti, è difficile per antivirus e altre difese della rete rilevare il loro uso dannoso. LockBit aveva un altro modo per rimanere furtivo. Il file dannoso scaricato dallo script PowerShell era mascherato da immagine PNG. In effetti, il file scaricato era un programma eseguibile che crittografava i file sulla macchina.

LockBit ha avuto un altro trucco intelligente. Prima che i dati crittografati del ransomware, si connettessero a un server controllato dagli aggressori e quindi usassero l'indirizzo IP della macchina per determinare dove si trovava. Se risiedesse in Russia o in un altro paese appartenente alla Comunità di Stati indipendenti, interromperebbe il processo. È molto probabile che la ragione impedisca di essere perseguiti dalle autorità di contrasto.

Assistenza clienti, determinazione e fiducia

In un tragico fallimento, ma fin troppo comune, l'organizzazione colpita da LockBit non ha avuto backup recenti. Con l'intera rete collegata, i leader potevano scegliere di pagare il riscatto o di perdere i loro dati per sempre. Hanno optato per la prima opzione.

Usare un Sito Tor, l'organizzazione ha pagato il riscatto e, dopo diverse ore, ha utilizzato lo stesso servizio anonimo per ottenere la chiave di decodifica. Come molti altri operatori di ransomware, quelli dietro questo attacco avevano un desk di supporto che comunicava sul messaggero Jabber anonimo per risolvere diversi problemi che l'organizzazione aveva nel ricostruire la rete bloccata.

LockBit è venduto nei forum di broker sotterranei che spesso richiedono ai venditori di versare un deposito che i clienti possono recuperare nel caso in cui le merci non si esibiscano come pubblicizzate. A testimonianza della loro fiducia e determinazione, i venditori di LockBit hanno sborsato quasi $ 75.000.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *