Follow
Detection stack
- AIDR
- Alert
- ETL
- Query
Riassunto
LockBit è un’operazione di ransomware-as-a-service (RaaS) attiva dal 2019 che si basa su tattiche di doppia estorsione. Dopo un’ampia operazione di polizia nel febbraio 2024, il gruppo è riemerso con nuovi ceppi, inclusi LockBit-NG-Dev e LockBit 5.0. Queste ultime varianti introducono supporto multipiattaforma, difese più forti contro l’analisi e comportamenti post-crittografia più distruttivi. L’operazione continua a prendere di mira organizzazioni di alto valore in vari settori in tutto il mondo.
Indagine
Il report traccia la progressione di LockBit dalla versione 3.0 (LockBit Black), passando per la build sperimentale LockBit-NG-Dev, fino alla iterazione attuale 5.0. Descrive aspetti tecnici come routine crittografiche personalizzate, riflessione DLL, utilizzo di .NET CoreRT, impacchettamento con MPRESS e forte dipendenza da nomi di servizi hashed per arrestare processi e servizi. I cambiamenti comportamentali documentati includono modalità di esecuzione “invisibile”, alterazione ETW e cancellazione automatica dei log. L’analisi copre anche la distruzione dell’infrastruttura effettuata nell’ambito dell’Operazione Cronos.
Mitigazione
I difensori dovrebbero mantenere backup offline e immutabili e verificare regolarmente le loro procedure di ripristino. Distribuire il rilevamento degli endpoint che cerca comportamenti distintivi da ransomware, inclusa attività sospetta di PowerShell, uso di comandi di amministrazione VSS e creazione anomala di mutex. Limitare l’uso di account privilegiati, limitare le tecniche di duplicazione dei token e bloccare i domini C2 noti di LockBit mentre si monitorano pattern di traffico TLS anomali.
Risposta
Quando viene rilevata un’attività di LockBit, isolare immediatamente il sistema compromesso, acquisire la memoria volatile e raccogliere tutti i dati di log pertinenti. Identificare e bloccare l’host C2, terminare il processo ransomware e conservare il valore del mutex per il lavoro forense successivo. Iniziare il ripristino da backup affidabili ed escalare ai team di risposta agli incidenti interni o esterni. Condividere gli indicatori di compromissione con le comunità di intelligence sulle minacce e di condivisione delle informazioni pertinenti.
Flusso di Attacco
Stiamo ancora aggiornando questa parte. Iscriviti per ricevere notifiche
AvvisamiRilevamenti
Rilevamento dell’uso dell’API EvtClearLog da parte di LockBit 5.0 [Windows Sysmon]
Visualizza
Rilevamento della patch ETW da parte di LockBit 5.0 [Sistema Windows]
Visualizza
Tecniche Anti-Debugging e Escalation dei Privilegi di LockBit 3.0 [Creazione Processo Windows]
Visualizza
Rileva la cancellazione automatica di LockBit-NG-Dev tramite Fsutil Zero Data [Evento File di Windows]
Visualizza
Rilevamento ransomware LockBit-NG-Dev tramite cancellazione ombra e backup [Windows Powershell]
Visualizza
Esecuzione della Simulazione
Prerequisito: Il Controllo Pre-volo di Telemetria & Baseline deve essere superato.
Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta prevista dalla logica del rilevamento.
-
Narrazione & Comandi di Attacco:
L’attaccante ha già posizionato il binario ransomware sull’host vittima. Per coprire le tracce, il ransomware invocafsutil.exeper sovrascrivere il proprio file con byte nulli, cancellando effettivamente il suo eseguibile dal disco. Questo viene eseguito dopo che il payload ha completato la sua fase di crittografia. I passaggi sono:- Determinare il percorso dell’eseguibile ransomware in esecuzione (
$MyPath). - Invoca
fsutil.exe file setZeroDatasu$MyPathcon il flag0per azzerare l’intero file. - Facoltativamente, eliminare il file ora vuoto per rimuovere l’entrata nel filesystem.
Questa sequenza produce un evento di creazione processo dove Immagine=
*fsutil.exe*e LineaComando=*file setZeroData <path>*, corrispondendo alla regola Sigma. - Determinare il percorso dell’eseguibile ransomware in esecuzione (
-
Script di Test di Regressione:
# Simula l'auto-cancellazione di LockBit-NG-Dev tramite fsutil # 1. Crea un eseguibile “malizioso” dummy (simula il binario ransomware) $maliciousPath = "$env:TEMPmalicious.exe" Set-Content -Path $maliciousPath -Value ([byte[]](0..255)) -Encoding Byte -Force # 2. Verifica che il file esista e la sua dimensione (opzionale) Write-Host "Creato ransomware dummy su $maliciousPath (Dimensione: $(Get-Item $maliciousPath).Length byte)" # 3. Sovrascrivi il file con zero-byte usando fsutil Write-Host "Sovrascrizione del file con zeri utilizzando fsutil..." fsutil.exe file setZeroData $maliciousPath 0 # 4. Facoltativo: elimina il file azzerato per rimuovere completamente le tracce Write-Host "Cancellazione del file azzerato..." Remove-Item -Path $maliciousPath -Force Write-Host "Simulazione completa. Verifica rilevamento in SIEM." -
Comandi di Pulizia:
# Assicurati che eventuali artefatti residui vengano rimossi $maliciousPath = "$env:TEMPmalicious.exe" if (Test-Path $maliciousPath) { Remove-Item -Path $maliciousPath -Force Write-Host "Rimosso file residuo $maliciousPath" } else { Write-Host "Nessun artefatto residuo trovato." }