Da qualche giorno ci stanno contattando molte aziende italiane per richiederci assistenza in seguito ad attacchi del ransomware LockBit. Data la situazione e nell'evidenza che il team di cybercriminali che gestisce LockBit ha deciso si colpire in Italia, riteniamo utile fornire alcune informazioni tecniche su questo ransomware.
LockBit è stato individuato in diffusione per la prima volta nel Settembre 2019, ma con un nome differente ovvero "ABCD Ransomware". Ha continuato poi ad essere sviluppato ed affinato divenendo una minaccia malware complessa: le versioni recenti sono passate dall'uso dell'estensione di criptazione .abcd all'estensione di criptazione .lockbit, alla quale si deve il nome attuale del malware. Come tutti i ransomware, il suo unico scopo è quello di criptare i dati presenti in una rete, impedendone così l'accesso ai legittimi proprietari per poter così richiedere in cambio una somma di denaro in riscatto. Al contrario di altri ransomware però, ha sempre preferito colpire aziende ed enti governativi piuttosto che utenti finali.
Come si diffonde
E' piuttosto complesso analizzare il comportamento di LockBit poiché lascia veramente poche tracce utili per eseguire analisi di tipo forense. Si sa che è imparentato per parti di codice e funzionamento con i ransomware LockerGoga e MegaCortex, è che è un RaaS (ransomware as a service), ovvero uno strumento di attacco che chiunque può affittare nel dark web, condividendone i proventi con i gestori e gli affiliati alla rete (per approfondire vedi qui). Si diffonde in tre diverse modalità:
- self-spreading, ovvero auto diffusione nella rete bersaglio;
- con attacchi mirati, soprattutto email di phishing e spam organizzate secondo i principi dell'ingegneria sociale;
- usando tool per la diffusione, come Windows PowerShell o Server Message Block (SMB).
Le capacità di self spreading di LockBit sono molto alte: il ransomware è diretto interamente da processi automatizzati pre impostati, cosa che lo rende una peculiarità nel mondo ransoware, nel quale invece molti malware richiedono di essere indirizzati manualmente (a volta anche per lungo tempo). In concreto, una volta che l'attaccante ha manualmente infettato un singolo host, LockBit è capace di cercare nuovi host accessibili, connettersi ad essi, attaccarli e diffondere ulteriormente l'infezione usando un semplice script.
Altra accortezza che lo rende un ransomware temibile è il fatto che nasconde le proprie operazioni dietro processi e modelli legittimi nativi di Windows, cosa che rende anche più complessa l'individuazione dei file dannosi da parte di eventuali soluzioni di sicurezza per la rete o per gli endpoint.
Stadi di infezione
LockBit prevede 3 stadi di infezione:
- exploit;
- infiltrazione;
- distribuzione.
Nella prima fase, gli attaccanti sfruttando una debolezza della rete per fare irruzione nella rete stessa. La debolezza sfruttata può annidarsi nei software in uso, ma anche nel personale aziendale: spesso l'anello debole della cyber security è, infatti, proprio il fattore umano.
Un esempio di prima fase è visibile sotto: in questo caso l'attacco inizia con una email contenente un allegato dannoso. L'attacco quindi è iniziato da un Internet Information Server che lancia uno script PowerShell remoto richiamando un altro script integrato in un Foglio di Google.
Lo script connette ad un server di comando e controllo per scaricare ed installare un modulo PowerShell che apre una backdoor nel sistema e garantisce la persistenza. Lo script ha anche funzioni di "spionaggio": usa espressioni regolari per individuare nel Registro di Sistema specifici tipi di software. Sotto una lista delle parole chiave usate:
 |
Fonte: https://www.bleepingcomputer.com/ |
In generale, però, è molto difficile stabilire il punto di accesso iniziale del ransomware, a causa delle scarse tracce che lascia dietro di sé. In alcuni casi i ricercatori sono riusciti a ricostruire che LockBit ha avuto accesso alle reti violando le credenziali di login di servizi VPN obsoleti tramite attacchi a dizionario. Una volta nella rete, il ransomware prepara il terreno affinché il payload dannoso possa essere diffuso a quanti più host possibili.
Nella seconda fase il ransomware cerca di penetrare più in profondità nella rete: in maniera completamente automatizzata, parte dal primo punto di accesso e tenta di individuare e violare tutti gli host connessi alla rete appena violata. In questa fase utilizza moltissimi "tool post-exploitation" ovvero strumenti utili per riuscire ad elevare i privilegi di amministrazione e non incappare nei limiti imposti agli utenti standard.
Nella terza e ultima fase, ottenuto l'accesso a tutta la rete o gran parte di essa, l'eseguibile dannoso viene "spinto" lungo tutta la rete propagandosi a tutte le macchine violate. Il che significa che basta un singolo sistema violato perchè LockBit possa diffondersi in tutta la rete.
Infine il blitz!
Tutte le informazioni che LockBit raccoglie nella prima e nella seconda fase sono usate dagli attaccanti per decidere se il target sia o meno sufficientemente "appetitoso": se il target viene considerato di scarso valore, il ransomware non sarà distribuito nella rete. Se invece gli attaccanti trovano il target sufficientemente interessante, LockBot sarà eseguito automaticamente in memoria entro 5 minuti usando un comando di Windows Management Instrumentation (WMI). L'attacco può passare da un server ad un sistema perché, tra le altre cose, LockBit modifica le impostazioni e le regole del firewall per permettere questa operazione che, normalmente, verrebbe impedita.
Le versioni di LockBit
LockBit, come detto, ha vissuto e vive una costante evoluzione. Sono già tre le varianti di questa famiglia ransomware:
- Variante 1 - estensione .abcd
- Variante 2 - estensione .lockbit
- Variante 3 - estensione .lockbit
LockBit ad ora non ha, purtroppo, soluzione. I nostri partner tecnologici sono impegnati nello studio del codice del malware e delle modalità di attacco, cercando un falla per scardinare l'algoritmo di criptazione o di mitigare il rischio di attacco: aggiorneremo i nostri lettori non appena avremo novità a riguardo.
Nessun commento:
Posta un commento