domenica 9 giugno 2024

Lockbit3: conosciamo meglio la cybergang


Quando è nata Lockbit3?

LockBit3è il nome attribuito al gruppo di cyber criminali considerato più pericoloso nel panorama mondiale in merito agli attacchi ransomware. LockBit3 è anche il nome della attuale versione della piattaforma di ransomware-as-a-service (RaaS).

La sua nascita si può far risalire al 2019, quando comparve sulla scena il ransomware chiamato inizialmete "ABCD" poi Lockbit. Nel giro di soli quattro anni LockBit è diventata la piattaforma di RaaS più utilizzata al mondo.  

Come funziona il ransomware as a service?

Ricordiamo, solo per i lettori più distratti, che un attacco ransomware nella forma più semplice consiste nell'accedere ai dati di un computer o sistema e nella loro cifratura. I dati risultano in questo modo inutilizzabili e il cyber criminale può chiedere un riscatto, generalmente da pagare in bitcoin, per liberare (ovvero decifrare) i dati sequestrati.

Il RaaS è un modello di business basato sul modello Software-as-a-Service (SaaS), consiste nella vendita o affitto di licenze del ransomware a terzi, chiamati affiliati. In questo modo chi vuole compiere attacchi ransomware nei confronti di specifici target non necessita di eccessive competenze tecniche. Ciò ha portato, negli ultimi anni, ad una grande diffusione di attacchi di tipo ransomware.

Esistono varianti di questo tipo di attacco, per esempio la cosiddetta "double extortion" in cui ai dati cifrati si aggiunge la minaccia di renderli pubblici e la "triple extortion" che consiste nell'esercitare diverse forme di pressione per ottenere il pagamento del riscatto. La triple extortion infatti oltre a prevedere la cifratura dei dati e la richiesta del riscatto, prevede la minaccia di pubblicazione dei dati più sensibili in caso di mancato pagamento e altre forme di attività collaterali contro la vittima, come per esempio il DDoS verso i suoi servizi. Ultimamente esistono ulteriori forme di attacco, in cui si estende la richiesta di riscatto a terze parti in qualche modo legate con la vittima.

Per quanto riguarda il riscatto, questo viene generalmente spartito tra gli affiliati e il core team.

LockBit3 è stata debellata?

Nel 2022 a seguito di una richiesta dello stato francese, EUROPOL viene interessata per combattere la cybergang. Seguono una serie interminabile di riunioni di coordinamento tecnico, che portano, ad inizio 2024, all'annuncio del 20 febbraio di aver debellato la cybergang attraverso una operazione di polizia estesa sull'intero pianeta. L'operazione ha condotto al sequestro di 34 servers dislocati sul territorio di varie nazioni (Olanda, Germania, Finlandia, Francia, Svizzera, Australia, Stati Uniti e Regno Unito). Si è potuto procedere all'arresto di due membri della cybergang, uno in Polonia ed uno in Ucraina e al sequestro di 200 account di cryptocurrency. 

Sembrava, per qualche giorno, che la più pericolosa cybergang fosse stata debellata. 

Ma se oggi, a soli due mesi di distanza, si va a vedere cosa sta accadendo nel mondo del ransomware, ci si può facilmente rendere conto che le cose stanno diversamente.

E' sufficiente dare uno sgurado alle richieste di riscatto per rendersi immediatamente conto che LockBit3 è tuttaltro che defunta. 

Ransomfeed: LockBit3 è saldamente in testa alla classifica anche nel 2024

Se utilizziamo un servizio tipo Ransomfeed ci accorgiamo che dall'inizio dell'anno ad oggi (25 maggio), dunque in cinque mesi, sono state registrate 409 richieste di riscatto da parte di LockBit3 a seguito di attacchi andati a buon fine, attestandosi anche quest'anno in testa alla classifica. Inoltre, dopo qualche giorno di calma (dal 20 al 24 febbraio) a seguito dell'operazione di EUROPOL a febbraio, la cybergang ha ripreso le sue operazioni con più  foga che mai. L'efficacia dell'operazione è dunque quanto meno discutibile.

E in Italia?

Anche l'Italia è tra le vittime di LockBit3. Sempre secondo Ransomfeed l'Italia ha registrato 11 attacchi nel 2024 ovvero circa il 3% del totale. Per nostra fortuna, in questo caso, non siamo gli Stati Uniti che registrano 167 attacchi andati a buon fine, ovvero il 41% degli attacchi.

Purtroppo il nostro tessuto sociale è molto vulnerabile ai cyberattacchi e se è vero che LockBit3 conta per il 3%, è anche vero che non si tratta dell'unico gruppo che agisce in questo modo, per cui le vittime di ransomware, quasi sempre PMI, nel 2024 sono state ben 53.

Vittime italiane di Lockbit3 nel 2024 - Ransomfeed.it

Come proteggersi?

Proteggersi dai ransomware è possibile ma richiede un mix di elementi che combinati assieme consentono di aumentare la sicurezza.

La prima regola è quella del Backup sempre efficiente e separato dalla rete. Se si è previdenti in caso di attacco ransomware sarà infatti possibile ripristinare i dati a partire dal backup. Avere il backup sempre disponibile è efficace contro la cifratura ma è solo una parte della soluzione, questo perchè attualmente la maggior parte degli attacchi i dati sensibili vengono anche esfiltrati e la minaccia di pubblicazione fa parte della strategia di attacco.

Mettere in piedi delle chiare policy di accesso e gestione dei dati sensibili. La conoscenza e gestione dei dati dell'organizzazione non può essere lasciata alla cura degli utenti. In particolare per quanto riguarda i dati sensibili.

Proteggere i sistemi utilizzando dispositivi fisici e software di varia natura ma gestiti unitamente per tenere sempre sotto controllo le reti e i sistemi. I firewall, soprattutto quelli di nuova generazione come i Web Application Firewall, sono una misura importante e consentono la raccolta di grandi quantità di dati. 

Il monitoraggio continuo deve essere sempre una priorità.

I ransomware si impossessano dei dati e sistemi solo una volta che sono riusciti ad accedere al perimetro interno. Una delle tecniche più usate è ancora oggi il phishing dunque occorre istruire il proprio personale affinchè sia in grado di riconoscere tentativi di phishing nelle sue varie forme.

Preparare un piano di risposta ad un eventuale attacco ransomware consente di gestire l'emergenza e di evitare di prendere delle decisioni avventate.

Chi c'è dietro Lockbit 3.0?

L'attribuzione, come sappiamo tutti, è molto complessa e stabilire un legame tra un gruppo cyber come Lockbit è più una questione politica che tecnica, fatto sta che gli Stati Uniti nelle loro dichiarazioni ufficiali affermano che la cyber gang è di base in Russia. Un cittadino russo, Dmitry Yuryevich Khoroshev, è ricercato in quanto sviluppatore e distributore del ransomware.


Alessandro Rugolo


Per approfondire: 

- https://www.europol.europa.eu/media-press/newsroom/news/law-enforcement-disrupt-worlds-biggest-ransomware-operation 

- https://www.trendmicro.com/vinfo/us/security/definition/ransomware-as-a-service-raas

- https://www.swascan.com/it/lockbit-3-0-analisi-malware-dinamica/

- https://www.paloaltonetworks.com/cyberpedia/what-is-multi-extortion-ransomware

-https://www.akamai.com/blog/security/learning-from-the-lockbit-takedown

-  Dmitry Yuryevich Khoroshev, a Russian national and a leader of the Russia-based LockBit group, for his role in developing and distributing LockBit ransomware


Nessun commento:

Posta un commento