Gli attacchi ransomware LockBit 2.0 aumentano in tutto il mondo
I ricercatori di sicurezza hanno individuato un aumento degli attacchi utilizzando l'ultima versione del ransomware LockBit, con nuove vittime in Sud America, Asia ed Europa.
In precedenza abbiamo coperto l'attacco LockBit 2.0 che ha preso di mira con successo la grande società di consulenza Accenture, con gli attori delle minacce che avrebbero chiesto 50 milioni di dollari di riscatto, secondo alcuni analisti, e avrebbero rubato circa 6 TB di dati sensibili di Accenture. La società di consulenza ha dichiarato che l'attacco non ha avuto un impatto significativo, i sistemi sono stati rapidamente bloccati e l'impatto è stato minimo, con i dati ripristinati con successo dai backup.
I nuovi attacchi arrivano sulla scia del colpo di riscatto su Accenture. I ricercatori stanno segnalando attacchi a entità situate a Taiwan, nel Regno Unito e in Cile. Secondo quanto riferito, la nuova versione del ransomware utilizza una crittografia multi-thread migliorata, che vanta uno dei metodi di crittografia più veloci sul campo. Sembra anche che LockBit 2.0 crittografa solo una parte molto piccola di ogni file che cripta, con solo un pezzo di 4 kilobyte di ogni file che viene crittografato, il che accelera notevolmente il processo.
L'attore delle minacce dietro LockBit sta anche sperimentando nuove tattiche di ingegneria sociale. Gli hacker stanno cercando di mettersi in contatto con i dipendenti dell'azienda e corromperli affinché collaborino. Ci sono segnalazioni di malware che modificano gli sfondi dei dipendenti, pagamenti pubblicitari di milioni di dollari per credenziali di lavoro che consentiranno agli hacker di infiltrarsi nell'organizzazione di destinazione.
Una volta che LockBit 2.0 trova la sua strada in una rete, ha a sua disposizione un variegato arsenale di strumenti. C'è uno scanner di rete che individua i controller di dominio e una serie di file .bat che includono l'automazione per un gran numero di attività, tra cui l'abilitazione di RDP, la chiusura di qualsiasi software anti-malware o di sicurezza e lo svuotamento dei registri degli eventi per ridurre al minimo il malware orma.
Dopo aver stabilito le sue routine di base, LockBit inizia a muoversi lateralmente attraverso la rete della vittima, iniziando con l'invio di nuove policy di gruppo ai dispositivi connessi. Tali criteri si occupano di spegnere Windows Defender, quindi di diffondere ed eseguire il payload su ogni dispositivo Windows trovato.
Una volta eseguita la crittografia, l'immagine desktop viene sostituita con il messaggio di reclutamento descritto sopra, le consuete istruzioni di riscatto e la minaccia che i file già crittografati possano essere rilasciati al pubblico nel caso in cui il riscatto non venga pagato.
I ricercatori hanno anche individuato alcune somiglianze nei comportamenti di LockBit 2.0 e altri famigerati ceppi di ransomware come Ryuk ed Egregor, indicando una sovrapposizione di codice almeno parziale.
