Ransomware LockBit: cos’è, come funziona, come difendersi

Se sei stato vittima di un attacco ransomware la rapidità di intervento è fondamentale. A Recovery File siamo specializzati nel recupero dati su dispositivi colpiti da virus ransomware (diversi tipi di ransomware, dai più ai meno noti). Contattaci e ti forniremo assistenza immediata!

Indice dell'articolo

LockBit

Molti sono i Ransomware progettati per bloccare l’accesso degli utenti a sistemi informatici in cambio del versamento di una somma di denaro.

LockBit è uno di questi e prende di mira soprattutto i sistemi informatici delle aziende puntando a documenti di estremo valore. Vediamo insieme cos’è, come funziona e come difendersi da attacchi di questo tipo.

Per approfondire, vedi anche i seguenti contenuti:

Che cos’è il Ransomware LockBit?

LockBit è un RaaS, ovvero un Ransomware-as-a-Service, in quanto viene distribuito come un servizio. Le parti coinvolte depositano una somma da utilizzare per attacchi su commissione personalizzati e ottengono profitti attraverso una rete di affiliati. La quota ottenuta dalle cifre versate per i riscatti, viene poi divisa tra tutti i membri del team.

LockBit nasce originariamente come un cryptovirus in quanto il suo compito è quello di rubare dati sensibili e restituirli solo dopo il riscatto di una ingente somma di danaro.

Le vittime scelte sono aziende di grandi dimensioni che per evitare di gridare allo scandalo, dispongono delle finanze necessarie per risolvere la questione nel minor tempo possibile.

Noto come “virus ABCD”, ha iniziato a sferrare i suoi attacchi nel settembre 2019 con particolare successo negli Stati Uniti, in India, in Ucraina, in Cina, Indonesia, Germania, Francia e Regno Unito.

Come funziona il ransomware LockBit?

LockBit sferra i suoi attacchi in maniera mirata. È in grado di sfidare grandi organizzazioni interrompendone improvvisamente le funzioni essenziali.

Dopo aver bloccato le operazioni essenziali, ruba i dati e prova a estorcere denaro in cambio di una password necessaria per ripristinare il sistema operativo.

Se la somma non viene versata, allora procede con la pubblicazione illegale come forma di ricatto.

Le modalità di azione hanno le stesse caratteristiche:

LockBit si diffonde in maniera automatica, non è richiesto l’intervento umano. Il Ransomware è auto-pilotato e va alla ricerca di obiettivi di valore, diffonde l’infezione e cripta tutti i sistemi informatici accessibili in una rete.

Questo Ransomware viene utilizzato per attacchi altamente mirati contro le aziende e altre organizzazioni.

Gli attacchi sono fortemente mirati verso aziende grandi e ben organizzate; infatti dopo aver infettato un singolo host, LockBit è in grado di riconoscerne altri simili, connetterli ed infettarli tramite uno script.

Si serve di strumenti simili per la diffusione, nativi di quasi tutti i sistemi informativi come Windows Powershell e SMB (Server Message Block).

Fasi degli attacchi LockBit

Gli attacchi LockBit possono essere suddivisi in tre fasi:

  • Exploit
  • Infiltrazione
  • Implementazione

Fase 1: Expoit

Nella prima fase, il Ramsomware scandaglia la rete alla ricerca dei punti deboli. La modalità in cui il virus contagia un’organizzazione può avvenire ricorrendo al social engineering, come il noto phising. In questo caso, l’autore dell’attacco fingendosi personale fidato richiede le credenziali di accesso al sistema.

Un’altra modalità è tramite l’invio di posta elettronica, in cui, tramite il download contenuto nel testo della mail, il virus entra nei server Intranet e nei sistemi di rete di un’organizzazione. Per evitare la facilità di questi attacchi, è necessaria una corretta configurazione di rete.

Fase 2: Infiltrazione

Da questo punto in poi, LockBit inizierà ad operare in maniera autonoma. Il programma prepara le azioni necessarie per criptare le password. Inoltre, in questa fase LockBit disabiliterà tutti i programmi di sicurezza, gli antivirus che potrebbero garantire il ripristino del sistema.

L’obiettivo dell’infiltrazione consiste nel rendere impossibile un ripristino automatico o di rallentarlo a sufficienza perché l’unica soluzione pratica sia quella di arrendersi al pagamento del riscatto. Una vittima che vuole disperatamente ripristinare il normale funzionamento del sistema è disposta a pagare il riscatto.

Fase 3: Deployment

Finalmente in questa fase si passa al payload di criptaggio. Vengono bloccati tutti i file di sistema che sarà possibile disabilitare solo con una chiave personalizzata. Una volta che la rete per la mobilitazione è pronta, il ransomware inizia a propagarsi raggiungendo tutti i computer possibili.

La pericolosità di questo Ramsomware dipende dal fatto che in questa fase, intaccando una singola unità, può iniziare ad inviare comandi ad altre unità di rete per il download e l’esecuzione di LockBit. In ogni cartella del sistema vengono poi lasciati dei file di testo con la richiesta di riscatto che delle volte possono essere scritte anche in maniera intimidatoria.

A questo punto, la vittima dovrà giocare la carta successiva: contattare il supporto di LockBit e pagare il riscatto, oppure aspettare e rivolgersi a degli esperti.

Nella maggior parte dei casi, le vittime temendo scandali e fughe di dati non autorizzati, tendono ad effettuare la prima scelta.

Tuttavia non è consigliato agire tempestivamente e d’impulso perché capita talvolta che i malfattori non rispettino la parola data, nonostante il versamento della cifra richiesta.

Come proteggersi dal ransomware LockBit

Evitare questo tipo di attacchi risulta essenziale per proteggere i nostri dati. Le misure precauzionali non sono mai abbastanza, ma è necessario seguire alcuni semplici step per garantire una buona copertura al nostro sistema informatico. Vediamo insieme quali sono le procedure da seguire.

  1. Password: mantenere le password aggiornate e complesse. Molte violazioni degli account si verificano a causa di password facili da indovinare o sufficientemente semplici da rilevare da parte di uno strumento basato su algoritmo in pochi giorni di analisi. Assicuratevi di scegliere password sicure, ad esempio password più lunghe con variazioni di carattere, e di usare regole automatiche per la creazione di passphrase;
  2. Autenticazione a più fattori. Attivare questo processo aiuta sicuramente a controllare e prevenire eventuali attacchi, aggiungendo più difficoltà nell’effettuare l’accesso. Ad oggi, è molto utilizzato l’accesso biometrico, ovvero l’utenticazione tramite impronte digitali o tramite dispositivi OTP o chiavette USB;
  3. Autorizzazioni degli account utente. Per quanto noioso e lungo possa apparire il processo in prima istanza, è opportuno impostare più autorizzazioni possibili per impedire alle potenziali minacce di passare inosservate. È opportuno controllare gli utenti di endpoint e account IT con autorizzazioni a livello di amministratore. Cosi come devono essere sotto stretto controllo tutte i domini Web, le piattaforme di collaborazione e riunione, i database aziendali;
  4. Mantenere gli account puliti e attivi. Gli account di vecchia data o di dipendenti non più al servizio dell’azienda dovranno essere chiusi e rimossi completamente, con il fine di evitare eventuali infiltrazioni da chi sa come accedere al sistema;
  5. Configurare e mantenere il sistema operativo e le applicazioni utilizzate sempre aggiornate contro le nuove minacce informatiche;
  6. Effettuare backup periodici. È importante effettuare periodicamente dei backup dei dati sia online sia offline con dei dispositivi esterni come hard disk.
LockBit ransomware

Per informazioni potete inviare una mail a info@recoveryfile.it oppure utilizzare il contatto rapito sottostante:

ALTRI ARTICOLI DEL NOSTRO BLOG