Gli attori di LockBit Ransomware hanno guadagnato oltre 90 milioni di dollari dal 2020

LockBit, una famigerata operazione ransomware-as-a-service (RaaS), è riuscita a estorcere l'incredibile cifra di 91 milioni di dollari a varie organizzazioni statunitensi attraverso centinaia di attacchi dal 2020. Un bollettino congiunto pubblicato da più autorità internazionali, tra cui la sicurezza informatica e le infrastrutture degli Stati Uniti Security Agency (CISA) e FBI, fanno luce sull'entità dei danni causati da LockBit.

Il bollettino rivela che LockBit opera come RaaS, invitando gli affiliati a eseguire attacchi ransomware utilizzando la loro piattaforma. Ciò ha portato a una rete di diversi attori delle minacce che eseguono diversi tipi di attacchi. LockBit, emerso alla fine del 2019, ha mantenuto la sua natura dirompente e prolifica, con le statistiche di Malwarebytes che indicano che ha preso di mira fino a 76 vittime nel solo maggio 2023. La banda di ransomware, che si ritiene abbia collegamenti con la Russia, ha rivendicato la responsabilità di oltre 1.653 attacchi ransomware fino ad oggi.

LockBit non ha risparmiato alcun settore delle infrastrutture critiche, prendendo di mira settori come finanza, agricoltura, istruzione, energia, governo, sanità, produzione e trasporti. Ha subito aggiornamenti significativi, tra cui LockBit Red nel giugno 2021, LockBit Black nel marzo 2022 e LockBit Green nel gennaio 2023, l'ultimo dei quali si basa sul codice sorgente trapelato dalla banda Conti smantellata. Il ransomware ha anche ampliato la sua portata per prendere di mira i sistemi Linux, VMware ESXi e Apple macOS, rendendolo una minaccia in continua evoluzione.

Il modello di business di LockBit prevede il noleggio dei propri strumenti ransomware agli affiliati che eseguono gli attacchi e le operazioni di estorsione. Insolitamente, il gruppo consente agli affiliati di ricevere pagamenti di riscatto direttamente prima di condividerne una parte con gli sviluppatori principali.

LockBit sfrutta varie vulnerabilità

Gli attacchi orchestrati da LockBit hanno sfruttato vulnerabilità in vari sistemi, inclusi i difetti rivelati di recente nei server Fortra GoAnywhere Managed File Transfer (MFT) e PaperCut MF/NG. Inoltre, le vulnerabilità note nei dispositivi Apache Log4j2, F5 BIG-IP e BIG-IQ e Fortinet sono state sfruttate per l'accesso iniziale.

Gli affiliati di LockBit hanno utilizzato oltre tre dozzine di strumenti freeware e open source per condurre ricognizioni della rete, stabilire l'accesso remoto, eseguire il dumping delle credenziali ed esfiltrare i file. In particolare, in queste intrusioni sono stati abusati anche i legittimi software del Red Team come Metasploit e Cobalt Strike.

Il successo di LockBit può essere attribuito alla sua costante innovazione, in particolare al suo pannello amministrativo intuitivo che semplifica l'implementazione del ransomware per le persone con competenze tecniche limitate. Il gruppo rivede continuamente le sue tattiche, tecniche e procedure (TTP) per stare al passo.

In risposta alla minaccia, la CISA ha emesso una direttiva operativa vincolante che ordina alle agenzie federali di proteggere i dispositivi di rete esposti a Internet pubblico e ridurre al minimo la superficie di attacco. Questa direttiva mira a mitigare il rischio che gli attori delle minacce utilizzino i dispositivi di rete per ottenere un accesso illimitato alle reti organizzative.

Inoltre, un recente avviso ha evidenziato i potenziali rischi associati alle implementazioni del Baseboard Management Controller (BMC), che potrebbero fornire agli attori delle minacce un punto d'appoggio e capacità di esecuzione prima dell'avvio.