Il cybercrime continua a dilagare e ad evolversi, sviluppando nuove tecniche sempre più raffinate e pericolose. Secondo gli esperti di Kaspersky, LockBit, uno dei gruppi ransomware più produttivi al mondo, ha recentemente aggiornato le proprie operazioni con funzionalità multi-piattaforma migliorate. LockBit ha guadagnato visibilità per aver preso di mira senza tregua le aziende di tutto il mondo, lasciando dietro di sé una scia di danni operativi e finanziari. Il recente report di Kaspersky evidenzia la determinazione di LockBit nell’espandere la sua portata e l’impatto delle sue attività malevole.
Inizialmente, LockBit non utilizzava leak portal, tattiche di doppia estorsione o esfiltrazioni di dati prima di aver criptato i dati della vittima. Tuttavia, il gruppo ha costantemente sviluppato la propria infrastruttura e le misure di sicurezza per proteggere le proprie risorse da varie minacce, tra cui gli attacchi ai panelli di amministrazione e quelli DDoS (Distributed Denial of Service).
Come agisce adesso LockBit?
La community della cybersecurity ha rilevato che LockBit sta adottando codici di altri gruppi ransomware noti, come BlackMatter e DarkSide. Questa scelta strategica non solo semplifica le operazioni per i potenziali affiliati ma amplia la gamma dei vettori di attacco utilizzati da LockBit. Le recenti scoperte del Threat Attribution Engine (KTAE) di Kaspersky hanno confermato che Lockbit ha integrato circa il 25% del codice utilizzato precedentemente dal gruppo ransomware Conti, ormai scomparsa, generando una nuova variante nota come LockBit Green.
I ricercatori di Kaspersky hanno scoperto un file ZIP contenente alcuni campioni di LockBit specificamente adattati per diverse architetture, tra cui Apple M1, ARM v6, ARM v7, FreeBSD e molte altre. Grazie a un’analisi approfondita e all’utilizzo del KTAE, è stato confermato che questi campioni sono stati creati dalla versione di LockBit Linux/ESXi, osservata precedentemente.
Nessuna azienda è al sicuro
Sebbene alcuni campioni, come la variante macOS, richiedano un’ulteriore configurazione e non siano correttamente firmati, è evidente che LockBit sta testando attivamente il proprio ransomware su varie piattaforme, indicando un’imminente espansione degli attacchi. Questo sottolinea la necessità di adottare solide misure di sicurezza su tutte le piattaforme e di sviluppare maggiore consapevolezza tra la comunità business.
“LockBit è un gruppo ransomware estremamente attivo e noto per i suoi devastanti attacchi informatici alle aziende di tutto il mondo. Grazie a costanti miglioramenti dell’infrastruttura e all’integrazione di codici di altre gang di ransomware, LockBit rappresenta un’importante minaccia in costante evoluzione per le organizzazioni di diversi settori. È indispensabile che le aziende rafforzino le proprie difese, aggiornino costantemente i sistemi di sicurezza, sensibilizzino i dipendenti sulle best practice di sicurezza e definiscano protocolli di riposta agli incidenti per mitigare efficacemente i rischi derivanti da LockBit e altri gruppi di ransomware simili”, ha dichiarato Marc Rivero, Senior Security Researcher di Kaspersky’s Global Research and Analysis Team.
I consigli di Kaspersky per proteggersi dai ransomware come Lockbit
Per proteggersi da attacchi ransomware come LockBit, Kaspersky consiglia di:
- Aggiornare sempre i software su tutti i dispositivi utilizzati per evitare che gli aggressori sfruttino le vulnerabilità e si infiltrino nella rete.
- Concentrare la propria strategia di difesa sul rilevamento dei movimenti laterali e delle fughe di dati su internet. Prestare particolare attenzione al traffico in uscita per rilevare eventuali connessioni di criminali informatici alla propria rete, impostare backup offline che non possono essere compromessi dai criminali informatici a cui è possibile accedere velocemente in caso di necessità o emergenza.
- Attivare una protezione ransomware su tutti gli endpoint.
- Installare soluzioni anti-APT ed EDR per individuare e rilevare minacce in modo avanzato, effettuare analisi e rimediare in caso di incidente. È bene fornire al proprio gruppo SOC l’accesso alle informazioni più recenti sulle minacce e aggiornarlo regolarmente con una formazione professionale.
- Fornire al team SOC l’accesso alle più recenti informazioni sulle minacce (Threat Intelligence).
