Inizialmente, LockBit non utilizzava leak portal, tattiche di doppia estorsione o esfiltrazioni di dati prima di aver criptato i dati della vittima. Tuttavia, il gruppo ha costantemente sviluppato la propria infrastruttura e le misure di sicurezza per proteggere le proprie risorse da varie minacce, tra cui gli attacchi ai panelli di amministrazione e quelli DDoS (Distributed Denial of Service).
La community della cybersecurity ha rilevato che LockBit sta adottando codici di altri gruppi ransomware noti, come BlackMatter e DarkSide. Questa scelta strategica non solo semplifica le operazioni per i potenziali affiliati ma amplia la gamma dei vettori di attacco utilizzati da LockBit. Le recenti scoperte del Threat Attribution Engine (KTAE) di Kaspersky hanno confermato che Lockbit ha integrato circa il 25% del codice utilizzato precedentemente dal gruppo ransomware Conti, ormai scomparsa, generando una nuova variante nota come LockBit Green.
I ricercatori di Kaspersky hanno scoperto un file ZIP contenente alcuni campioni di LockBit specificamente adattati per diverse architetture, tra cui Apple M1, ARM v6, ARM v7, FreeBSD e molte altre. Grazie a un’analisi approfondita e all’utilizzo del KTAE, è stato confermato che questi campioni sono stati creati dalla versione di LockBit Linux/ESXi, osservata precedentemente.
Sebbene alcuni campioni, come la variante macOS, richiedano un’ulteriore configurazione e non siano correttamente firmati, è evidente che LockBit sta testando attivamente il proprio ransomware su varie piattaforme, indicando un’imminente espansione degli attacchi. Questo sottolinea la necessità di adottare solide misure di sicurezza su tutte le piattaforme e di sviluppare maggiore consapevolezza tra la comunità business.
“LockBit è un gruppo ransomware estremamente attivo e noto per i suoi devastanti attacchi informatici alle aziende di tutto il mondo. Grazie a costanti miglioramenti dell’infrastruttura e all’integrazione di codici di altre gang di ransomware, LockBit rappresenta un’importante minaccia in costante evoluzione per le organizzazioni di diversi settori. È indispensabile che le aziende rafforzino le proprie difese, aggiornino costantemente i sistemi di sicurezza, sensibilizzino i dipendenti sulle best practice di sicurezza e definiscano protocolli di riposta agli incidenti per mitigare efficacemente i rischi derivanti da LockBit e altri gruppi di ransomware simili”, ha dichiarato Marc Rivero, Senior Security Researcher di Kaspersky’s Global Research and Analysis Team.
Maggiori informazioni sul toolset aggiornato di LockBit sono disponibili su Securelist.
Per proteggersi dagli attacchi ransomware, Kaspersky consiglia di:
- Aggiornare sempre i software su tutti i dispositivi utilizzati per evitare che gli aggressori sfruttino le vulnerabilità e si infiltrino nella rete.
- Concentrare la propria strategia di difesa sul rilevamento dei movimenti laterali e delle fughe di dati su internet. Prestare particolare attenzione al traffico in uscita per rilevare eventuali connessioni di criminali informatici alla propria rete., impostare backup offline che non possono essere compromessi dai criminali informatici a cui è possibile accedere velocemente in caso di necessità o emergenza.
- Attivare una protezione ransomware su tutti gli endpoint. Kaspersky Anti-Ransomware Tool for Business è disponibile gratuitamente e permette di proteggere computer e server da ransomware e altri tipi di malware, previene gli exploit ed è compatibile con le soluzioni di sicurezza già installate.
- Installare soluzioni anti-APT ed EDR per individuare e rilevare minacce in modo avanzato, effettuare analisi e rimediare in caso di incidente. È bene fornire al proprio gruppo SOC l’accesso alle informazioni più recenti sulle minacce e aggiornarlo regolarmente con una formazione professionale. Tutto questo è offerto dal framework Kaspersky Expert Security .
- Fornire al team SOC l’accesso alle più recenti informazioni sulle minacce (Threat Intelligence). Kaspersky Threat Intelligence Portal è un unico punto di accesso alle informazioni sulle minacce di Kaspersky, che fornisce dati e insight sugli attacchi informatici rilevati dal nostro team negli ultimi 20 anni. Per aiutare le aziende a dotarsi di difese efficaci, Kaspersky ha annunciato di offrire gratuitamente l’accesso a informazioni indipendenti, aggiornate e provenienti da tutto il mondo relative adi attacchi e minacce informatiche. È possibile richiedere l’accesso qui.
