Lockbit ha bisogno di poche presentazioni, i fatti parlano per lui/loro: in Italia si devono a questo gruppo ransomware molti attacchi, recenti e meno recenti. L'ultima vittima in ordine cronologico è Bricofer Italia, nota azienda di vendita al dettaglio di materiali per bricolage e edilizia: oltre 2000 file rubati, una richiesta di doppio riscatto (per non rendere pubblici i dati e per renderli di nuovo accessibili all'azienda). Lockbit è però anche il ransomware che ha devastato il sistema sanitario regionale del Lazio, che sta ricattando proprio in queste settimane la regione Veneto per i dati rubati dall'ASL di Padova. Ancora: Lockbit 2.0 ha colpito anche piccole e medie aziende come Acquazzurra Firenze, noto calzaturificio attivo nel settore del lusso, ERG SPA la nota compagnia italiana dell'energia, GiCinque Srl, Mascherpa Tecnologie Gestionali e terminiamo qui la lista per non annoiarvi.
Già a fine 2020 Lockbit aveva colpito duramente in Italia (ne abbiamo parlato qui ), poi si è evoluto nella versione attuale, famosa e famigerata: Lockbit 2.0. Versione che oltre a non presentare falle nella criptazione tali da consentire di "forzare" l'algoritmo e riportare in chiaro i file, è stata anche la prima in assoluto, nel mondo dei ransomware, a rendere completamente automatizzata la criptazione dei domini Windows sfruttando le policy di gruppo.
Qui, per chi volesse, ci sono alcuni dettagli tecnici: Il ransomware Lockbit si evolve: è il primo ad aver automatizzato la criptazione dei domini Windows sfruttando le policy di gruppo
La criptazione delle macchine virtuali VMware ESXiLa novità più recente tra i vari upgrade del ransomware è di qualche giorno fa e si deve ai ricercatori di Trend Micro che, ormai da mesi alle calcagna di questo gruppo ransomware, hanno di nuovo analizzato l'ecryptor per Linux trovando una sorpresa: ora si è specializzato nella criptazione delle macchine virtuali VMware ESXi.
Capiamoci, non è un fatto nuovo: il ricorso sempre più ampio delle aziende alle macchine virtuali è un dato di fatto e i gruppi ransomware ne sono consapevoli. I primi a presentare encyrptor incentrati sui server VMware ESXi sono stati BlackMatter e REvil (il cui gruppo è stato sgominato dopo una serie di arresti da parte delle forze dell'ordine ucraine), poi Avoslocker, Hive ecc...
Diciamo che LockBit 2.0 mancava a questo appello, ma ha fatto i compiti e si è messo in pari aprendo un nuovo terreno di attacco contro le aziende e ne ha dato annuncio in pompa magna pubblicizzandoo la nuova funzionalità all'intera rete di affiliati. Non dimentichiamoci infatti che LockBit 2.0 è un RaaS e conta una notevole rete di affiliati.
Come altri encryptor destinati ad ambienti Linux, fornisce agli affiliati una interfaccia a riga di comando con la quale disabilitare o abilitare una serie di funzionalità utili a personalizzare e targettizzare gli attacchi. Si va dalla possibilità di indicare quanti byte criptare per ogni file, fino all'arresto delle macchine virtuali passando per il wiping dello spazio libero ecc...
TrendMicro ha fornito l'elenco dei comandi visibili nell'interfaccia dagli affiliati
 |
| Fonte: TrendMicro |
I ransomware sono sbarcati su Linux e non hanno nessuna intenzione di andarsene
Al di là del dovuto alert riguardante un ransomware che sta colpendo duramente in Italia e che, tra le altre cose, è ormai sul gradino più alto del podio dei gruppi ransomware dopo l'arresto dei membri di REvil, il punto importante da sottolineare è che i ransomware hanno preso definitivamente di mira anche Linux e non hanno alcuna intenzione di smettere. Anche perchè, pian piano, Linux è sempre meno di nicchia e sempre più diffuso.
Insomma, ormai bisogna aspettarsi che tutte le principali campagne ransomware abbiano già sviluppato varianti pensate per eseguirsi su Linux. Il che, in termini di cybersecurity, dovrebbe portare a pensare come non sia più sufficiente mettere in sicurezza e mitigare i rischi per i dispositivi che eseguono Windows, ma che occorre pensare e approntare la sicurezza anche per tutte le macchine che eseguono Linux.
Nessun commento:
Posta un commento