Lockbit 2.0 è ormai divenuto tragicamente popolare, nel mondo e in Italia. In Italia è stato protagonista di centinaia di attacchi contro aziende ed enti governativi (soprattutto sanitari), nel mondo colpisce aziende, governi, scuole, ospedali e chi più ne ha più ne metta. I numeri, vittime e guadagni, concretizzano quanto diciamo da un pò: LockBit 2.0 è uno dei principali cyber avversari col quale confrontarsi.
Lockbit 2.0: le vittime italiane
ASP Messina, Ingew, Jannone, Farmacia Statuto, Basso srl, Progetto edile srl , Erediriva, Multimmobiliare Ticino, Rosa Group, Bazzi, Guazzini, Crich, Confindustria Caserta, Istituto di Servizi per il Mercato Agricolo Alimentare (ISMEA), Comune di Villafranca.... chiudiamo qui la lista. Queste sono le vittime italiane (di cui si è avuto notizia) di LockBit 2.0 da Marzo alla data di oggi, 10 maggio 2022. E non sono neppure tutte: la rivendicazione pubblica dell'attacco da parte del gruppo Lockbit avviene, tramite il leak site del ransomware, solo nel caso in cui ci sia bisogno di "dare una spintarella" ad una vittima titubante a pagare. Gli attaccanti concedono solitamente tre giorni alle vittime: se queste non pagano inizia la pubblicazione dei dati rubati. Altrimenti le notizie degli attacchi neppure fuoriescono, quindi c'è da aspettarsi che il numero di vittime (in Italia e nel mondo) sia sottostimato rispetto alla realtà.
L'attacco più recente, stando alla fonte Red Hot Cyber, risale ai primi giorni di Maggio: la vittima è l'azienda italiana Eredi di Riva Natale srl. Il countdown di tre giorni è stato pubblicato il 6 Maggio
Il countdown per Eredi Di Riva sul leak site di Lockbit 2.0 |
Lockbit 2.0: diamo i numeri...
Gli attaccanti dietro a Lockbit 2.0 hanno condiviso col profilo Twitter vx-underground una schermata dove sono visibili i pagamenti ricevuti dal gruppo.
Lockbit ransomware group has the largest number of published companies on their blog (850+).
— vx-underground (@vxunderground) May 8, 2022
Lockbit informed us they have ransomed 12,125 companies (to varying degrees of success).
12,125 x $100,000 (low est.) = $1,212,500,000
They sent us the attached image below as proof. pic.twitter.com/mEBTxvEj39
Si vede come il gruppo abbia ricevuto il pagamento del riscatto da 12.125 vittime: qui si rende chiaro come il numero di aziende e enti colpiti da Lockbit 2.0 sia ampiamente sottostimato. Il sito di leak infatti riporta soltanto 850 countdown, in corso e scaduti, uno per vittima. Vx-undeground azzarda anche un rapido calcolo: fissando come riscatto minimo 100.000 cadauno, la cifra totale supererebbe il miliardo di dollari.
Lockbit 2.0 in breve
Lockbit opera come un Ransomware as a service: dispone di una lunga lista di affiliati che distribuiscono il ransomware, ormai quasi esclusivamente in attacchi mirati, e condividono i guadagni con i gestori del "servizio". Utilizza molte tecniche di intrusione nelle reti, evidenza che lo rende una grossa sfida di cyber sicurezza: fino ad ora è stato visto utilizzare accessi o credenziali di accesso comprati da altri gruppi di attaccanti, sfruttare vulnerabilità non patchate, insider access ma ha anche eseguito l'exploit di alcune vulnerabilità 0-day. Un volta compromessa la rete aziendale, guadagnato l'accesso, i tool utilizzati per l'attacco sono quasi tutti pubblicamente disponibili: un esempio è l'uso di Mimikatz per l'escalation dei privilegi. Un insieme di tool pubblicamente disponibili e personalizzati fa il resto: prima avviene il furto dei dati dai sistemi (esfiltrazione) quindi viene distribuito il ransomware, che procede alla criptazione dei dati. Infine compare la nota di riscatto.
Inizia l'estorsione: pagare per riportare in chiaro i file e per non vedere pubblicati i dati rubati. Gli attaccanti pubblicano i riferimenti della vittima sul proprio site leak Onion, avviano il count down e si mettono in attesa di contatti per iniziare le trattative.
Lockbit 2.0 è l'evoluzione della versione base di Lockbit ed ha iniziato ad essere distribuito dal Luglio 2021. Ha una caratteristica peculiare: consente la criptazione automatica dei dispositivi attraverso i domini Windows abusando dei criteri di gruppo di Active Directory. Dall'Agosto 2021 il ransomware ha avviato una campagna per il reclutamento di insider dentro le aziende con la promessa di una parte dei profitti. Poco dopo è stata sviluppata anche una versione per Linux, capace di sfruttare le vulnerabilità delle macchine virtuali VMWare ESXi. Un report recente lo colloca al primo post per distacco nella classifica dei ransomware più veloci a criptare i dati.
Per saperne di più > Ransomware Lockbit 2.0 colpisce ancora in Italia: il manuale di difesa
Nessun commento:
Posta un commento