Rilevamento del Ransomware LockBit
Indice:
Nonostante sia un attore relativamente nuovo nell’arena delle minacce informatiche, il ransomware LockBit si è rapidamente guadagnato la fama di essere uno dei malware più prolifici e pericolosi. Durante il periodo 2020-2021, LockBit è stato costantemente incluso nella lista dei campioni malevoli più attivi e noti. Per raggiungere questo obiettivo, i manutentori di LockBit sfruttano il modello Ransomware-as-a-Service (RaaS) per coinvolgere più affiliati e procedere con gli attacchi. Inoltre, applicano una pratica di doppia estorsione per esercitare ulteriore pressione sulle vittime e aumentare le probabilità di ricevere il riscatto.
Che cos’è il Ransomware LockBit?
Inizialmente, il ransomware LockBit emerse nel 2019 come virus “ABCD”. Tale soprannome si verificò a causa dell’estensione del file aggiunta a tutti i file criptati. Da allora, il malware ha evoluto significativamente il suo arsenale malevolo e ha cambiato l’estensione in .lockbit. Attualmente, LockBit è attivamente pubblicizzato nei forum clandestini, acquisendo nuovi membri per il suo programma RaaS. Nel 2020, i ricercatori hanno stimato $75,000 guadagnati dai venditori di LockBit tramite un programma di affiliazione.
Secondo l’ analisi di Coveware, LockBit concentra i suoi sforzi su imprese di medie e grandi dimensioni, nonché su enti governativi. Tuttavia, i manutentori del ransomware seguono un proprio “codice morale” e evitano di prendere di mira organizzazioni legate alla sanità, ai sindacati e all’istruzione. Inoltre, LockBit termina la sua attività nel caso in cui l’indirizzo IP della macchina bersaglio si trovi nella Comunità degli Stati Indipendenti. La ragione di ciò potrebbe essere l’origine dello sviluppatore, che afferma di vivere nella regione siberiana della Russia, secondo l’ intervista con il team Cisco Talos. Inoltre, le statistiche mostrano tassi molto elevati di recupero dei dati pagati accompagnati dal breve tempo di recupero. Ciò significa che gli operatori del malware tendono a rispettare i loro impegni, che si dice siano una parte importante del modello di business di LockBit.
Tuttavia, non c’è onore tra i ladri, e LockBit prende di mira sempre più grandi imprese per i profitti. Il focus principale sono le aziende IT che operano negli Stati Uniti e in Europa. Gli operatori del ransomware applicano con successo la pratica della doppia estorsione, rubando dati sensibili prima della crittografia. Per incoraggiare le vittime a pagare il riscatto, i manutentori di LockBit pubblicano regolarmente dump di dati insieme a informazioni sugli ultimi attacchi su un sito web dedicato. Anche i media di rilievo sono coinvolti per fare rumore sull’azienda vittimizzata e attirare l’attenzione dei suoi partner commerciali sull’incidente.
Coveware afferma che a maggio 2021 il pagamento medio del riscatto per le vittime di LockBit è di $57,600. Tuttavia, di solito è correlato alla portata e alla scala dell’azienda bersaglio e potrebbe essere molto più grande.
Metodi di Attacco LockBit
LockBit utilizza una varietà di metodi sofisticati per procedere con il processo di infezione. In particolare, è un ceppo di malware autoprogrammante che richiede solo un paio d’ore all’interno della rete per propagarsi attraverso di essa, criptando tutti gli asset accessibili. Normalmente, gli attaccanti impiegano giorni o settimane per investigare sull’azienda bersaglio. LockBit, invece, si basa su automazione e sfrutta la velocità fulminea dell’intrusione. Inoltre, il malware procede con il riconoscimento durante la fase di crittografia per causare il massimo danno.
Per ottenere l’accesso iniziale all’ambiente, LockBit di solito fa affidamento su email di phishing. Inoltre, vulnerabilità note e server RDP sono comunemente usati per l’infezione. Successivamente, il ransomware entra nella fase di riconoscimento, utilizzando strumenti come Mimikatz, PowerShell e Cobal Strike per la ricerca e i movimenti laterali. SMB, tabelle ARP e PowerShell sono usati per la propagazione. Infine, LockBit viene eseguito in memoria, tipicamente con un comando di Windows Management Instrumentation (WMI), e avvia la crittografia. Immediatamente dopo, una nota di riscatto viene depositata in diverse cartelle sull’host.
Rilevamento di LockBit
Per prevenire possibili infezioni e proteggere l’infrastruttura aziendale da questa minaccia nota, è possibile scaricare un set di regole Sigma e YARA rilasciate dai nostri sviluppatori di Threat Bounty nel Threat Detection Marketplace.
Rilevamento del Ransomware LockBit
Rilevamento del Payload del Ransomware (LockBit)
L’elenco completo dei contenuti del Threat Detection Marketplace dedicati al rilevamento degli attacchi LockBit è disponibile qui.
Iscriviti a Threat Detection Marketplace, una piattaforma leader di Content-as-a-Service (CaaS) che supporta il flusso di lavoro CI/CD completo per il rilevamento delle minacce fornendo contenuti SOC qualificati, cross-vendor e cross-tool. Desideri creare i tuoi contenuti di rilevamento e partecipare a iniziative di caccia alle minacce? Unisciti al nostro Programma Threat Bounty e vieni premiato per il tuo contributo!
