Gli esperti di Kaspersky mettono in guardia contro il ransomware LockBit, evidenziandone la determinazione nell’espandere sia la portata che l’impatto delle sue attività malevole. Tra i gruppi ransomware più produttivi al mondo, LockBit ha infatti recentemente aggiornato le proprie operazioni con funzionalità multi-piattaforma migliorate. Ha guadagnato inoltre visibilità per aver preso di mira senza tregua le aziende di tutto il mondo, lasciando dietro di sé una scia di danni operativi e finanziari.
Una minaccia che si evolve: il ransomware LockBit
Inizialmente, LockBit non utilizzava leak portal, tattiche di doppia estorsione o esfiltrazioni di dati prima di aver criptato i dati della vittima. Tuttavia, il gruppo ha costantemente sviluppato la propria infrastruttura e le misure di sicurezza per proteggere le proprie risorse da varie minacce. Come gli attacchi ai panelli di amministrazione e quelli DDoS (Distributed Denial of Service).
Ampliati i vettori di attacco
La community della cybersecurity ha rilevato che LockBit sta adottando codici di altri gruppi ransomware noti, come BlackMatter e DarkSide. Questa scelta strategica non solo semplifica le operazioni per i potenziali affiliati ma amplia la gamma dei vettori di attacco utilizzati da LockBit. Le recenti scoperte del Threat Attribution Engine (KTAE) di Kaspersky hanno confermato che Lockbit ha integrato circa il 25% del codice utilizzato precedentemente dal gruppo ransomware Conti, ormai scomparso, generando una nuova variante nota come LockBit Green.
Il ransomware LockBit
I ricercatori di Kaspersky hanno scoperto un file ZIP contenente alcuni campioni di LockBit specificamente adattati per diverse architetture, tra cui Apple M1, ARM v6, ARM v7, FreeBSD e molte altre. Grazie a un’analisi approfondita e all’utilizzo del KTAE, è stato confermato che questi campioni sono stati creati dalla versione di LockBit Linux/ESXi, osservata precedentemente. Sebbene alcuni campioni, come la variante macOS, richiedano un’ulteriore configurazione e non siano correttamente firmati, è evidente che LockBit sta testando attivamente il proprio ransomware su varie piattaforme. E questo indica un’imminente espansione degli attacchi. Inoltre sottolinea la necessità di adottare solide misure di sicurezza su tutte le piattaforme e di sviluppare maggiore consapevolezza tra la comunità business.
Marc Rivero, Senior Security Researcher di Kaspersky’s Global Research and Analysis Team LockBit è un gruppo ransomware estremamente attivo e noto per i suoi devastanti attacchi informatici alle aziende di tutto il mondo. Grazie a costanti miglioramenti dell’infrastruttura e all’integrazione di codici di altre gang di ransomware, LockBit rappresenta un’importante minaccia in costante evoluzione per le organizzazioni di diversi settori. È indispensabile che le aziende rafforzino le proprie difese, aggiornino costantemente i sistemi di sicurezza, sensibilizzino i dipendenti sulle best practice di sicurezza e definiscano protocolli di riposta agli incidenti per mitigare efficacemente i rischi derivanti da LockBit e altri gruppi di ransomware simili.
Proteggersi dagli attacchi ransomware
Per mettersi in sicurezza Kaspersky consiglia di:
aggiornare sempre i software su tutti i dispositivi utilizzati per evitare che gli aggressori sfruttino le vulnerabilità e si infiltrino nella rete.
Concentrare la propria strategia di difesa sul rilevamento dei movimenti laterali e delle fughe di dati su internet. Prestare attenzione al traffico in uscita per rilevare eventuali connessioni di criminali informatici alla propria rete. Impostare backup offline che non possono essere compromessi dai criminali informatici a cui è possibile accedere velocemente in caso di necessità o emergenza.
Attivare una protezione ransomware su tutti gli endpoint. Kaspersky Anti-Ransomware Tool for Business è disponibile gratuitamente e permette di proteggere computer e server da ransomware e altri tipi di malware. Inoltre previene gli exploit ed è compatibile con le soluzioni di sicurezza già installate.
Il ransomware LockBit è in piena attività
Installare soluzioni anti-APT ed EDR per individuare e rilevare minacce in modo avanzato, effettuare analisi e rimediare in caso di incidente. È bene fornire al proprio gruppo SOC l’accesso alle informazioni più recenti sulle minacce e aggiornarlo regolarmente con una formazione professionale. Tutto questo è offerto dal framework Kaspersky Expert Security .
Fornire al team SOC l’accesso alle più recenti informazioni sulle minacce (Threat Intelligence). Kaspersky Threat Intelligence Portal è un unico punto di accesso alle informazioni sulle minacce di Kaspersky, che fornisce dati e insight sugli attacchi informatici rilevati dal nostro team negli ultimi 20 anni. Per aiutare le aziende a dotarsi di difese efficaci, Kaspersky ha annunciato di offrire gratuitamente l’accesso a informazioni indipendenti, aggiornate e provenienti da tutto il mondo relative adi attacchi e minacce informatiche.
