NAKIVO > Blog

LockBit Ransomware: cosa occorre sapere per proteggersi

Pubblicato: Febbraio 8, 2024

Written by: NAKIVO Team

<>LockBit continua a rappresentare una delle principali minacce per le organizzazioni nel panorama molto diversificato dei ransomware. Nella prima metà del 2023, gli attacchi LockBit hanno avuto più successo rispetto a quelli di qualsiasi altra famiglia di ransomware, con BlackCat e Clop al secondo e terzo posto.

LockBit ha continuato a violare con successo le principali aziende e agenzie governative mondiali per tutto il 2023. Ad ottobre, ad esempio, il gruppo LockBit ha rivendicato la responsabilità di una violazione dei dati personali del governo canadese, affermando che sono stati rubati 1,5 terabyte di documenti d’archivio, compresi i dati personali di funzionari statali. Altre vittime di rilievo sono state Boeing, la filiale statunitense di ICBC (la più grande banca cinese) e il Ministero della Difesa del Regno Unito.

Say no to ransoms with NAKIVO

Say no to ransoms with NAKIVO

Use backups for fast data recovery after ransomware attacks. Multiple recovery options, immutable local and cloud storage, recovery automation features and more.

DISCOVER SOLUTION

Che cos’è il ransomware LockBit?

LockBit è un tipo di ransomware a doppia estorsione sviluppato dall’omonimo gruppo criminale, con i primi attacchi LockBit risalenti al 2019. Il gruppo LockBit sviluppa e commercializza il ransomware agli affiliati sulla base di un modello ransomware-as-a-service (RaaS) in cambio di una quota dei profitti derivanti dai pagamenti dei riscatti ricevuti. Gli affiliati reclutati utilizzano questo ransomware per condurre attacchi. È stato considerato un ransomware a doppia estorsione perché LockBit esfiltra anche i dati e i cyber-aggressori minacciano poi di pubblicare questi dati su siti di leak.

L’evoluzione del ransomware LockBit

Il ransomware LockBit ha subito diverse iterazioni da quando è stato identificato per la prima volta come ransomware ABCD, diventando più sofisticato man mano che si è evoluto. LockBit viene costantemente migliorato per infiltrarsi nelle reti protette e rimanere inosservato. Gli aggressori indagano attivamente sui sistemi di sicurezza per trovare vulnerabilità e utilizzano tecniche di ingegneria sociale e altre tecniche per garantire il successo dei loro attacchi.

Diamo un’occhiata alle iterazioni fino ad oggi:

ABCD

ABCD era la versione iniziale del ransomware del gruppo LockBit, rilevata per la prima volta nel settembre 2019. Il nome riflette l’estensione .abcd aggiunta ai file dopo la crittografia. Questa versione del ransomware generava anche un file di blocco note intitolato Restore-My-Files.txt in ogni cartella contenente dati crittografati. Il file descrive le procedure di pagamento del riscatto e di ripristino dei dati.

LockBit

LockBit 1.0 o semplicemente LockBit è la seconda versione di questo ransomware, che aggiunge l’estensione .LockBit ai file crittografati invece di .abcd. Questa iterazione non è molto diversa da quella ABCD in termini di progettazione ed esecuzione. Sono state apportate solo alcune modifiche al codice backend.

LockBit 2.0

LockBit 2.0, individuato per la prima volta in azione nel giugno 2021, è stato rivisto e aggiornato per diventare una minaccia più grave. Questa versione sfrutta lo standard di crittografia avanzato (AES) e gli algoritmi di crittografia a curva ellittica (ECC) per crittografare i dati. Gli aggressori utilizzano strumenti comunemente utilizzati dai team IT nella maggior parte delle organizzazioni per eseguire codice dannoso e diffonderlo attraverso i sistemi. Con la versione 2.0, gli hacker hanno utilizzato comandi WMI (Windows Management Instrumentation), connessioni con protocollo SMB e strumenti PowerShell.

LockBit 2.0 funziona offline e, dopo l’infezione, la crittografia continua indipendentemente dal fatto che la macchina sia connessa o meno a una rete. Inoltre, LockBit 2.0 dispone di un pannello di controllo per l’amministrazione accessibile tramite un browser TOR, che consente ai criminali informatici di tenere traccia dei propri attacchi.

LockBit 3.0, noto anche come LockBit Black

LockBit Black o LockBit 3.0 è stata la versione successiva, rilasciata nel giugno 2022. Questa versione è ancora più evasiva e modulare rispetto alle precedenti, con l’aggiunta di opzioni personalizzabili da utilizzare durante la compilazione e l’esecuzione del payload. Il comportamento di LockBit Black può essere ulteriormente modificato dopo l’esecuzione con argomenti aggiuntivi. Inoltre, questa versione integra funzioni di altri ransomware come Blackcat e Blackmatter.

Gli affiliati di LockBit 3.0 devono fornire la password corretta per eseguire il ransomware, ovvero decodificare l’eseguibile con una chiave crittografica. Questo livello di protezione consente a LockBit 3.0 di ingannare gli scanner di malware, impedendo loro di analizzare il codice.

È difficile rilevare i componenti eseguibili di LockBit 3.0 con soluzioni antivirus e anti-malware che utilizzano un principio di rilevamento basato su firme, poiché il componente crittografato dell’eseguibile varia. Questo componente utilizza una chiave crittografica per la crittografia, generando anche un hash univoco. Dopo che l’autore dell’attacco ha inserito la password corretta (ovvero la chiave di decrittografia è corretta), il dettaglio principale di LockBit 3.0 viene decrittografato. Quindi, il codice viene decrittografato e decompresso, consentendo l’ulteriore esecuzione del ransomware.

LockBit Green

LockBit Green, rilasciato nel gennaio 2023, è la quinta versione di LockBit modificata specificamente per colpire i servizi basati su cloud. Questa generazione ha un nuovo aspetto e una serie di funzioni e caratteristiche rispetto alle versioni precedenti. Tuttavia, LockBit Green ha parti di codice che appartenevano a un altro ransomware di tipo locker, Conti, che ora non è più attivo.

Estensioni dei file del ransomware LockBit

Dopo aver completato con successo l’invasione e la crittografia dei dati, LockBit modifica l’estensione dei file originali in una delle seguenti:

  • .abcd (ransomware ABCD di vecchia generazione)
  • .lockbit (LockBit e LockBit 2.0)
  • Una stringa casuale di 9 caratteri (LockBit 3.0 e LockBit Green)

Le fasi principali di un attacco ransomware LockBit

Un attacco ransomware LockBit si svolge solitamente in 3 fasi:

  1. Violazione. Gli aggressori aggirano il perimetro di sicurezza di un’organizzazione inviando e-mail di phishing, falsificando l’identità dei dirigenti per ottenere le credenziali di amministratore, utilizzando attacchi di forza bruta su nodi e reti interni e altri metodi. Vengono utilizzati attivamente anche exploit per il protocollo Remote Desktop Protocol e applicazioni pubbliche.

    Una volta introdotto LockBit nella rete dell’organizzazione, gli aggressori completano la fase di preparazione per aumentare la portata e il danno futuri dell’attacco ransomware. Le organizzazioni con reti semplici e non segmentate hanno molto meno tempo per reagire a una violazione.

  2. Infiltrazione. Il codice LockBit inizia a partecipare all’attacco. Lo script completa tutte le attività da questo punto in poi e utilizza tecniche di escalation dei privilegi per ottenere l’accesso richiesto. Quindi, il ransomware disabilita i firewall di sicurezza interni e le soluzioni di rilevamento e notifica dei malware per ottenere maggiori possibilità di azioni distruttive e rimanere sotto il radar del team di sicurezza.

    L’obiettivo principale del ransomware in questa fase è quello di raggiungere il maggior numero possibile di dati, aumentando così i danni e impedendo il ripristino indipendente dei dati.

    Durante questa fase, il ransomware Lockbit può eseguire le seguenti azioni per ottenere il livello di accesso obbligatorio:

    • Terminazione di servizi e processi
    • Esecuzione di comandi
    • Cancellazione di file di log

    LockBit 3.0 può bypassare l’UAC di Windows eseguendo un codice dannoso con privilegi elevati utilizzando il Component Object Model, ad esempio:

    %SYSTEM32%dllhost.exe/Processid:{A14CF3B9-5C92-2583-2846-D359234FBB37}

    Lockbit elimina le copie shadow utilizzando Windows Management Instrumentation (WMI). Innanzitutto, il ransomware interroga e identifica le copie shadow:

    select * from Win32_ShadowCopy

    Quindi il ransomware elimina le copie shadow con DeleteInstance.

    I servizi con questi nomi vengono terminati dal ransomware LockBit: vss, sql, svc$, memtas, mepocs, mepocs, sophos, backup, GxVss, GxBlr, GxFWD, GxCVD e GxCIMgr.

    I seguenti processi vengono terminati: sql, oracle, ocssd, dbsnmp, synctime, agntsvc, isqlplussvc, xfssvccon, mydesktopservice, ocautoupds, encsvc, firefox, tbirdconfig, mydesktopqos, ocomm, ocomm, sqbcoreservice, excel, infopath, msaccess, mspu, onenote, outlook, powerpnt, steam, thebat, thunderbird, visio, winword, wordpad e notepad.

    Dopo aver terminato i processi, i file precedentemente aperti utilizzati da questi processi possono essere modificati o eliminati.

  3. Implementazione. Questa fase ha inizio quando gli aggressori ritengono che l’infrastruttura di un’organizzazione sia sufficientemente indebolita da poter avviare la crittografia. Il nodo di sistema compromesso con le autorizzazioni obbligatorie ordina quindi agli altri carichi di lavoro nella rete di scaricare ed eseguire il codice malware.

    Gli aggressori LockBit possono utilizzare StealBit per sottrarre i dati interessanti prima che questi vengano crittografati. Il potenziale di una fuga di dati è un’altra componente degli attacchi ransomware LockBit.

    Successivamente, i dati sui nodi raggiungibili vengono crittografati e LockBit aggiunge un file .txt contenente le istruzioni di pagamento a ogni cartella. Il formato tipico dei nomi dei file .txt è RansomwareID.README.txt.

Una delle funzioni più preoccupanti di LockBit è la sua capacità di auto-diffondersi, che semplifica il lavoro degli aggressori e velocizza gli attacchi in generale. Dopo aver ottenuto l’accesso all’amministrazione dell’ambiente di un’organizzazione, un hacker deve solo lanciare il ransomware, il codice fa il resto per distribuire gli eseguibili LockBit ad altri host raggiungibili.

La decrittografia dei file crittografati è possibile solo dopo aver soddisfatto le richieste degli hacker e aver ricevuto lo strumento proprietario da parte degli sviluppatori di LockBit. Come accennato in precedenza, un altro motivo per soddisfare le richieste sarebbe quello di impedire la condivisione pubblica di dati sensibili o personali.

I segni di un’infezione da LockBit

Il ransomware Lockbit modifica i valori del registro, compresi quelli responsabili della modifica e dell’aggiornamento dei criteri di gruppo. Il comando per aggiornare i criteri di gruppo dopo le modifiche apportate da LockBit è:

powershell Get-ADComputer -filter * -Searchbase '%s' | Foreach-Object { Invoke-GPUpdate -computer $_.name -force -RandomDelayInMinutes 0}

Alcuni dei segni nel registro che indicano un’infezione da Lockbit possono includere:

  • Icona del ransomware:

    HKCR.

    HKCRDefaultIcon

    con il valore collegato a C:ProgramData.ico

  • Sfondo del desktop del ransomware:

    HKCUControlPanelDesktopWallPaper

    con il valore di C:ProgramData.bmp

  • Abilitazione dell’accesso automatico a Windows:

    SOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon con i valori appropriati

    AutoAdminLogon 1

    DefaultUserName

    DefaultDomainName

Tenete a mente i percorsi in cui il ransomware distribuisce i propri file:

  • ADMIN$TempLockBit3.0_Filename.exe
  • %SystemRoot%TempLockBit3.0_Filename.exe
  • Domain_NamesysvolDomain_NamescriptsLockbit3.0_Filename.exe (su un controller di dominio)

Come proteggere i dati dalla minaccia LockBit

La protezione dei sistemi contro il ransomware e il malware in generale comporta due aspetti:

  1. Misure di sicurezza, ovvero cercare di prevenire l’infezione in primo luogo
  2. Strategie di protezione dei dati: ripristino dopo un incidente con perdita di dati e tempi di inattività minimi, senza pagare il riscatto

Esaminiamo ciascuno di questi aspetti in dettaglio.

Misure di sicurezza

  • Aggiornare regolarmente il sistema operativo, il software e il firmware poiché i componenti obsoleti potrebbero presentare vulnerabilità che gli hacker potrebbero sfruttare per introdurre ransomware nella vostra Infrastruttura. Gli sviluppatori tendono a correggere rapidamente tali backdoor e vulnerabilità di sicurezza individuate per proteggere i clienti.
  • Applica la segmentazione della rete a configurare la rete della vostra organizzazione in compartimenti separati. Un intruso che esegue una scansione della rete segmentata per la prima volta non sa quali dati si trovano in quale segmento. Pertanto, un hacker potrebbe aver bisogno di molto più tempo e impegno per effettuare una ricognizione e un’intrusione efficace. Anche se questo non sembra essere il caso specifico di LockBit, alcuni criminali informatici che utilizzano altre versioni di ransomware potrebbero scegliere di non attaccare un’organizzazione con una rete segmentata sicura.
  • Disattiva le porte inutilizzate sulla tua rete. Una porta aperta è solo un’ulteriore vulnerabilità che un malintenzionato può sfruttare per ottenere un accesso non autorizzato ai nodi interni e condurre un attacco.
  • Monitorare le reti per individuare anomalie comportamentali utilizzando soluzioni di monitoraggio attivo per reti e nodi. Ciò può aumentare significativamente la consapevolezza della situazione in qualsiasi momento. Oltre a consentire test approfonditi ed eliminare i colli di bottiglia della larghezza di banda della rete ogni volta che si presentano, il monitoraggio attivo aiuta a rilevare rapidamente le vulnerabilità. Tempi di risposta rapidi possono aiutare a mitigare gli effetti degli attacchi o persino a impedire la diffusione di malware.
  • Utilizzare antivirus con rilevamento delle minacce in tempo reale. Nonostante le analogie con le soluzioni di monitoraggio, le soluzioni antivirus possono fornire funzionalità di monitoraggio dei dispositivi, inclusi server e stazioni di lavoro, oltre al monitoraggio della rete.

    È vero che LockBit è subdolo e in grado di ingannare gli scanner antimalware, ma gli hacker possono utilizzare altri strumenti meno furtivi per impostare e supportare i loro attacchi. Un antivirus attivo in tempo reale vi avviserà quando qualcosa va storto all’interno dell’ambiente di un’organizzazione.

  • Integrare soluzioni anti-phishing per contrastare le tecniche di ingegneria sociale utilizzate dagli affiliati di LockBit per compromettere la sicurezza di un’organizzazione. Disabilitare i collegamenti ipertestuali nelle e-mail e aggiungere banner di avvertenza per le e-mail provenienti dall’esterno dell’organizzazione può aiutare a ridurre il rischio che un membro del team distratto clicchi su un link di phishing.

Strategie di protezione dei dati

Dato che LockBit può introdursi senza essere rilevato e ingannare gli strumenti di monitoraggio delle minacce, è necessario disporre di una seconda linea di difesa per garantire il ripristino dopo che si è verificato un incidente ransomware. Il piano di risposta agli incidenti deve includere una strategia di backup dei dati e di ripristino di emergenza.

Creare un piano di protezione dei dati.

  • Identificare le VM e le applicazioni critiche. Per evitare la perdita di dati, mantenere l’operatività e garantire la conformità anche dopo un attacco ransomware, è necessario utilizzare il backup e la replica per proteggere i propri computer. Il primo passo in una strategia di protezione dei dati è fare un inventario dei dati e delle macchine critici necessari per la continuità operativa. Il passo successivo è determinare quanto sia critica ciascuna macchina per aiutarti a stabilire la frequenza dei backup, le politiche di conservazione e gli obiettivi di ripristino.
  • Definisci gli RPO e gli RTO aziendali. Con una chiara comprensione di dove risiedono i dati critici, è possibile impostare il giusto obiettivo di punto di ripristino (RPO) e obiettivo di tempo di ripristino (RTO) per ogni tipo di macchina di produzione. RPO e RTO si riferiscono alla quantità massima di perdita di dati e di tempo di inattività che la vostra azienda può tollerare.
  • Impostare un programma di test per la protezione dei dati. Eseguire regolarmente backup e test della strategia DR e assicurarsi che ogni membro del team comprenda il proprio ruolo nel processo di ripristino. Il momento peggiore per scoprire che i dati sono irrecuperabili è quando i dati originali sono già stati persi o sottoposti a crittografia.

Segui la regola di backup 3-2-1-1.

  • Conserva il maggior numero possibile di copie dei dati. Decidi il numero di backup da creare e il criterio di conservazione in base all’importanza di un computer o di un’applicazione. Per avere le migliori possibilità di ripristino, applicate la strategia di backup 3-2-1: create almeno tre (3) copie dei vostri dati in ogni momento: i dati primari e due copie di backup. In secondo luogo, memorizzate i dati su due (2) tipi diversi di supporto. In terzo luogo, conservare una (1) copia offsite per garantire il ripristino in caso di disastro che colpisca il sito di produzione.
  • Proteggere i backup dal ransomware. Gli aggressori rappresentano una minaccia per i dati di backup tanto quanto lo sono per le macchine di produzione. Ecco perché, al giorno d’oggi, la regola del backup è stata ampliata per includere una copia aggiuntiva immutabile. L’immutabilità utilizza il modello “write-once-read-many” (scrittura singola, lettura multipla) per proteggere i dati da corruzione, crittografia e cancellazione. Ciò significa che i nuovi attacchi ransomware non possono manomettere questi dati e che una copia immutabile può essere utilizzata per il ripristino dei dati se i dati di produzione sono inaccessibili.

Utilizzo della soluzione di protezione dei dati di NAKIVO

Una soluzione dedicata alla protezione dei dati consente di automatizzare i processi di protezione dei dati per evitare un sovraccarico delle risorse e prevenire lacune nella conservazione. NAKIVO Backup & Replication è una soluzione completa per la protezione dei dati che supporta carichi di lavoro virtuali, fisici, cloud, SaaS e infrastrutture ibride. Implementando la soluzione di NAKIVO, avrete il controllo completo e la visibilità sulla vostra infrastruttura di protezione dei dati tramite l’interfaccia web, indipendentemente dalle piattaforme utilizzate: VMware vSphere, Microsoft Hyper-V, Windows, Linux, Microsoft 365, ecc.

La soluzione offre anche tutte le funzioni necessarie per applicare la regola 3-2-1-1, tra cui l’immutabilità e la suddivisione in livelli dei dati di backup:

  • Immutabilità dei backup inviati al cloud (Amazon S3, Wasabi, Backblaze B2 e altre piattaforme compatibili con S3), archiviazione locale basata su Linux (compresi i dispositivi NAS)
  • Automazione delle copie di backup con Concatenamento dei lavori per consentire di diversificare l’archiviazione con backup offsite e su nastro creando flussi di lavoro automatizzati
  • Funzioni di sicurezza per impedire accessi non autorizzati, tra cui l’autenticazione a due fattori (2FA) e il Controllo degli accessi basato sui ruoli (RBAC) per aiutarti ad applicare il principio del privilegio minimo (PoLP), limitando le autorizzazioni di accesso dei membri del team in base alle loro responsabilità all’interno dell’organizzazione
  • Funzioni DR integrate come Replica in tempo reale e Ripristino dell’ambiente possono aiutarti a soddisfare RPO di 1 secondo e RTO molto rigorosi
  • Le opzioni di ripristino complete e granulari ti offrono la flessibilità necessaria per ripristinare esattamente ciò di cui hai bisogno nel minor tempo possibile

Try NAKIVO Backup & Replication

Try NAKIVO Backup & Replication

Get a free trial to explore all the solution’s data protection capabilities. 15 days for free. Zero feature or capacity limitations. No credit card required.

Try for Free

Le persone leggono anche

Picture
Lista di controllo per la migrazione del data center al cloud
Picture
Come aggiungere un calendario a SharePoint e Office 365: una recensione completa
Picture
Panoramica dei siti di ripristino di emergenza