mercoledì 2 febbraio 2022

Italia sotto attacco: ancora ransomware contro aziende italiane. Lockbit 2.0 protagonista

 


Forse non c'è da stupirsi, ma continua l'incessante fuoco che le gang ransomware stanno facendo contro le aziende italiane. Delle varie ASL sotto attacco abbamo già abbondantemente reso un quadro: l'unica novità è che l'ASL3 Napoli, colpita dal ransomware Sabbath poche settimane fa, ha già visto pubblicati parte dei dati rubati e non riuscirà a pagare interamente gli stipendi dei dipendenti a causa del protrarsi delle problematiche ai sistemi IT conseguenti all'attacco.

Sono invece notizie fresche due attacchi ransomware che hanno colpito PMI italiane, a riconferma che non solo enti governativi e big corporation debbano temere questi attacchi. LockBit 2.0 ha colpito le aziende Isnardi e La Ponte Marmi nell'arco di una settimana circa.

Il sito https://doubleextortion.com dell'esperto di cybersecurity Luca Mella, riporta un numero preoccupante di attacchi contro aziende italiane nell'ultimo mese: dal 9 Gennaio ad ora sono state vittime di ransomware le aziende Uform srl, l'azienda di accessori e moda Giovanardi, la ben nota Moncler e le due già menzionate. Le famiglie ransomware più scatenate? Lockbit 2.0 la fa sicuramente da padrone, seguito Sabbath.

L'attacco contro Isnardi: cosa sappiamoLa notizia dell'attacco si è diffusa al momento in cui il gruppo che gestisce LockBit 2.0 ha reso pubblica sul proprio sito di leak la rivendicazione dell'attacco. Nel testo il gruppo spiega di aver violato i sistemi aziendali e avviato un countdown che scadrà il 10 Febbraio alle ore 12.30, ora italiana.

La Isnardi è un'azienda ligure conm sede a Pontedassio e produce olio e altri prodotti derivati dalle olive.

Fonte: lockbit 2.0 data leak site


Non sono trapelate altre informazioni: l'azienda non ha reso comunicazioni pubbliche quindi le uniche informazioni disponibili solo quelle pubblicate dagli attaccanti. Il sito web aziendale è comunque regolarmente disponibile online.


L'attacco contro La Ponte Marmi: cosa sappiamo
La Ponte Marmi srl, specializzata nella lavorazione e intaglio di marmi e pietre, ha la sede  a Grezzana Verona. Anche in questo caso non risultano comunicazioni ufficiali da parte dell'azienda e le informazioni disponibili sono soltanto quelle presenti sul data leak site di Lockbit 2.0. Anche in questo caso, oltre ad una breve descrizione dell'azienda e alla minaccia di pubblicazione dei dati, sul sito di leak si vede ben chiaro il countdown, in scadenza il 10 Febbraio anch'esso.


Le 2 famiglie ransomware in breve: LockBit e Sabbath
Siamo consapevoli di quanto sia estremamente limitante dover produrre solo generiche descrizioni degli attacchi. Come denunciato ormai da quasi tutti gli esperi di cybersecurity e gli addetti al settore, questa tradizione tutta italiana di non comunicare gli attacchi subiti e chiudersi nel più stretto riserbo non fa altro che produrre un grande vantaggio per gli attaccanti. Non sono conosciuti, ad esempio, i punti di accesso sfruttati dagli attaccanti e, in certi casi, mancano perfino indicatori di compromissione che potrebbero essere utili in forma preventiva.

Rendiamo quindi brevi descrizioni delle famiglie maggiormente attive, nella consapevolezza della mancanza di dati tecnici utili a rafforzare le difese aziendali per queste minacce specifiche.

LockBit 2.0
LockBit è stato individuato in diffusione per la prima volta nel Settembre 2019, ma con un nome differente ovvero "ABCD Ransomware". Ha continuato poi ad essere sviluppato ed affinato divenendo una minaccia malware complessa: le versioni recenti sono passate dall'uso dell'estensione di criptazione .abcd all'estensione di criptazione .lockbit, alla quale si deve il nome attuale del malware. Come tutti i ransomware, il suo unico scopo è quello di criptare i dati presenti in una rete, impedendone così l'accesso ai legittimi proprietari per poter così richiedere in cambio una somma di denaro in riscatto. Al contrario di altri ransomware però, ha sempre preferito colpire aziende ed enti governativi piuttosto che utenti finali.

Si diffonde in tre diverse modalità:

  • self-spreading, ovvero auto diffusione nella rete bersaglio;
  • con attacchi mirati, soprattutto email di phishing e spam organizzate secondo i principi dell'ingegneria sociale;
  • usando tool per la diffusione, come Windows PowerShell o Server Message Block (SMB).


A partire dalla seconda metà del 2021 il ransomware si è evoluto fino ad arrivare alla versione 2.0 e prendersi, a fianco di Conti, il podio delle famiglie ransomware più accanite contro l'Italia. L'ultima novità è la capacità di LockBit di criptare anche sistemi Linux e macchine virtuali macchine virtuali VMware ESXi.  

Per approfondire > Il ransomware Lockbit si evolve: è il primo ad aver automatizzato la criptazione dei domini Windows sfruttando le policy di gruppo

Per approfondire > LockBit, il ransomware che predilige le aziende italiane, si evolve. Ora colpisce anche le macchine virtuali


Sabbath (54BB47h)
Sabbath, conosciuto anche come 54BB47h, viene individuato in diffusione in attacchi reali già nel Luglio 2020: al tempo però si chiamava Eruption, poi si è evoluto e, sopratutto, ha iniziato importanti collaborazioni con i cosiddetti access broker cioè cybercriminali i cui servizi si concentrano nel fornire il primo accesso alla rete bersaglio. Sabbath è passato così dalle tradizionali tecniche di attacco ransomware, mirando sopratutto a singoli utenti finali e professionisti, per passare alle moderne tecniche di attacco mirato a doppia estorsione contro infrastrutture aziendali.

Nel Giugno 2021 il gruppo si rende responsabile di centinaia di attacchi mirati contro scuole e strutture sanitarie negli Stati Uniti. La preferenza sul settore sanitario si conferma nel tempo e l'hack dell'ASL 3 Napoli ne è solo l'ulteriore conferma. Anche qui, non si conoscono in dettaglio le tecniche di attacco. Il gruppo ha fatto sapere che, nel caso dell'attacco all'ASL3 Napoli sono state violate infrastrutture protette da soluzioni di IDR di Cortex dell'americana Palo Alto Network. Dispongono quindi di exploit specifici? Oppure la falla che ha permesso di accedere alla reti dell'ASL è da rintracciarsi in errori del team IT? Non è dato saperlo, purtroppo. Sicuramente Sabbath si avvale di exploit kit e del celebre tool di penetration Cobal Strike, ma questo è ormai l'armamentario standard per questo tipo di attacchi.

Una delle note di riscatto del ransomware Sabbath


Nessun commento:

Posta un commento