Il team CyOps di Cynet, che monitora le attività malevole sul web, ha identificato e analizzato l’attività criminale di Lockbit, al momento il gruppo di cybercrime più pericoloso in circolazione. Attacchi informatici in crescita, aziende ferme e interi settori colpiti: questa la prima evidenza emersa dall’analisi di Cynet, che ha tracciato l’attività del threat actor attualmente più pericoloso dai tempi di Conti. Tra i settori più colpiti sanità e energia. E questo soprattutto a causa dell’adozione da parte delle aziende italiane di sistemi di difesa rigidi, statici e non aggiornati.
Come guadagna la cyber gang
Lockbit si presenta come un’organizzazione ben strutturata che vanta strumenti di attacco efficaci e numerosi affiliati. Il gruppo criminale è in grado di attrarre risorse che possano operare per loro in cambio di ingenti guadagni. Inoltre, ha introdotto nuovi tipi di riscatto.
Cybercrime: Cynet analizza l’attività criminale di LockBit
Ad esempio pagare per non fare uscire la notizia. Inoltre ha avviato un referral program (una ricompensa) per chi segnala errori nel loro software o nelle loro botnet. A ciò si aggiunge che accettano pagamenti con Zcash, che vengono pubblicati su una blockchain pubblica ma il mittente, il ricevente e il valore della transazione possono rimanere privati. Permettono anche di scaricare i file sottratti usando dei Torrent, protocollo peer-to-peer che consente la distribuzione e la condivisione di file su Internet.
Come agisce Lockbit
Sullo sfondo di questo scenario, secondo l’analisi di Cynet, lo schema di attacco tipico di questa cyber gang segue una direttiva ben precisa. Si rivolge soprattutto ad aziende italiane e il punto di accesso è, nella quasi totalità dei casi analizzati, una credenziale VPN valida, acquistabile nelle principali collection sul Darkweb dove ne sono presenti decine di migliaia diverse. Una volta ottenuto l’accesso, l’attacco segue 7 fasi. Ovvero: ottenimento della persistenza; evasione dalla rilevazione degli antivirus disattivando gli stessi; Privilege escalation (sfruttamento di una falla); discovery della rete, dei sistemi, dell’applicazione e del server centralizzato. E ancora: movimenti laterali con l’utilizzo di strumenti di desktop remoti già installati per non essere rilevati. Infine, esfiltrazione dei dati e applicazione del ransomware.
Cybercrime sul web, l’attività criminale di LockBit
Marco Lucchina, Channel Manager Channel Manager Italy, Spain & Portugal di Cynet
Il risultato di un attacco condotto secondo questo schema è estremamente pericoloso. Gran parte delle azioni malevole può essere rilevata solo con strumenti di analisi comportamentale basati su intelligenza artificiale che la maggior parte delle aziende non possiede. Inoltre, se l’attaccante riesce a compromettere anche il backup, si crea una combinazione estremamente pericolosa. In grado di mettere a repentaglio la sopravvivenza stessa dell’azienda costretta a pagare il riscatto.
I passaggi invisibili
I passaggi effettuati da Lockbit vengono definiti invisibili. Infatti rientrano in azioni non necessariamente malevole, difficilmente distinguibili da dei normali passaggi amministrativi e, di conseguenza, non rilevabili. Questo fa di LockBit uno dei più pericolosi gruppi criminali ad oggi in circolazione.