Il ritorno sulle scene di un collettivo cybercriminale solo in apparenza sconfitto, con una nuova versione del suo ransomware completamente rinnovata.
La minaccia rappresentanta dal ransomware è in continua ascesa.
Poiché si tratta del software maggiormente rispecchiante la filosofia del cybercrime-as-a-service, esso si posiziona tra i rischi informatici più critici per aziende, organizzazioni e utenti semplici. Tra le famiglie maggiormente distintesi nel panorama odierno, vi è LockBit, il quale ha compiuto il proverbiale salto qualitativo, grazie alla diffusione di una nuova versione: la 4.0. Essa integra metodi di offuscamento avanzati e moduli di attacco rinnovati, in modo da sfuggire ai rilevamenti delle difese tradizionali e a massimizzare il profitto degli attaccanti.
Ma come sempre, andiamo con ordine e affrontiamo per gradi l’argomento.
Chi è LockBit?
Prima di discutere approfonditamente di LockBit 4.0, è essenziale affrontare una panoramica delle versioni precedenti, per comprendere l’evoluzione avvenuta nel corso degli anni.
Osservato per la prima volta nel 2019 sotto il nome di ABC Ransomware, LockBit è un ransomware che segue il modello ransomware-as-a-service (RaaS). Sin dal principio si è affermato all’interno del panorama cybercriminale per le sue eccezionali capacità di automazione della fase di infezione, che richiedeva un intervento umano minimo. Questo, unito a una tecnica sofisticata di criptazione, ha fatto si che un suo attacco potesse massimizzare il profitto per gli attori malevoli alle sue spalle.
Nel corso del 2021, il ransomware ha conosciuto una sua prima evoluzione, grazie alla diffusione della versione 2.0. Questa è stata la prima che ha abbracciato il modello RaaS, attirando in breve un gran numero di affiliati con il sistema di revenue sharing. Tale iterazione è stata anche la prima ad adottare la tattica della doppia estorsione, con le vittime minacciate non solo di perdere i propri dati sensibili, ma anche di vederli pubblicati online in caso di inadempienza alle richieste degli attaccanti.
La versione 3.0, nota anche come LockBit Black, ha introdotto ulteriore potenza di fuoco all’arsenale in seno al ransomware. Questo perché LockBit è stato dotato di moduli appositi per renderlo invisibile agli scanner degli antivirus, di rilevare immediatamente la sua esecuzione in ambiente sandbox e potenziato la versatilità dei propri payload. Tuttavia, ciò che ha reso questa versione unica, è stato il lancio di un programma di bug bounty. Tale strategia, la prima nel panorama dei ransomware, ricompensava i criminali informatici per l’individuazione di vulnerabilità nel codice di LockBit.
La situazione sembrava essere giunta al termine il 19 febbraio 2024, quando l’operazione Cronos sferrò un duro colpo al cuore del collettivo. Questa cooperazione internazionale, guidata dalla National Crime Agency del Regno Unito, in congiunta con l’Europol e l’FBI, portò al blocco incondizionato dei portali online del collettivo LockBit. Il bilancio finale dell’operazione Cronos è stato di:
- 4 arresti tra Polonia, Ucraina e Stati Uniti;
- 34 server sequestrati;
- 14.000 account bloccati;
- 200 portafogli di criptovalute sequestrati;
- Un numero attualmente non rivelato di chiavi digitali recuperate;
Nonostante il successo di questa operazione, il collettivo è riuscito a riorganizzarsi e a pubblicare una nuova versione del ransomware, dimostrando così la resilienza della minaccia.
LockBit 4.0
Questa nuova versione rappresenta un grande salto in avanti per il collettivo omonimo, il quale si vede confermate le proprie abilità di adattamento al panorama informatico di riferimento. LockBit 4.0 è scritto principalmente in C++, un linguaggio di programmazione molto comune e flessibile in grado di lavorare direttamente con le risorse di sistema.
Vediamo nel dettaglio cosa integra al suo interno la versione 4.0 del ransomware.
Algoritmi crittografici
Nonostante l’evoluzione, LockBit impiega ancora la ben nota combinazione di AES-256 e RSA-2048 come meccanismo di crittografia. In questa configurazione, il primo algoritmo viene impiegato per la cifratura dei file delle vittime, in quanto molto veloce ed efficiente anche in presenza di svariati terabytes di dati. La chiave privata AES viene poi crittografata con il secondo algoritmo, impiegando la chiave pubblica generata dagli attaccanti. In tal modo la decriptazione dei file colpiti è pressoché impossibile se non si è in possesso della chiave privata, ottenibile solo attraverso il pagamento del riscatto.
Pur essendo una configurazione molto comune tra i ransomware attualmente in vendita nel dark web, ciò che spicca in LockBit 4.0 è un’ottimizzazione alla base del proprio algoritmo. Ciò rende il processo di criptazione dei dati non solo più veloce, ma anche più efficiente, riducendo al tempo stesso anche le opportunità di intervento diretto da parte delle vittime.
Tecniche anti-rilevamento
Nonostante la scrittura principale in C++, i moduli per l’offuscamento del codice e le tecniche anti-sandbox sono stati scritti in Assembly, un linguaggio di programmazione a basso livello. La scelta non è casuale, in quanto per sfuggire al rilevamento da parte degli strumenti di analisi si deve necessariamente assumere il controllo del basso livello dell’architettura di un elaboratore.
Tra le tecniche implementate dal collettivo LockBit, quelle che spiccano maggiormente sono:
- Offuscamento dinamico del codice.
Questa varia tra un’istanza e l’altra del ransomware ed è utile per ostacolare gli strumenti di reverse engineering. - Anti-virtualizzazione e rilevamento di sandbox.
Grazie ai moduli in Assembly, LockBit controlla direttamente il timing degli interrupt del processore, determinando quindi se la sua esecuzione avviene in un ambiente reale, o in uno virtualizzato. - Polimorfismo.
Il ransomware altera leggermente il proprio codice per apparire diverso ad ogni esecuzione. In tal modo, complica la generazione di firme statiche per i software antivirus.
Tripla estorsione
L’elemento più preoccupante di LockBit 4.0 è l’implementazione di una tattica del tutto inedita, denominata “tripla estorsione“. Il ransomware non solo cripta i dati delle vittime e minaccia la pubblicazione, ma arriva a sferrare anche attacchi DDoS contro esse, in modo da aumentare la pressione psicologica. Il pagamento del riscatto diventa quindi una scelta molto più conveniente, rispetto al sostenimento dei costi di ripristino dei sistemi e di gestione dei danni reputazionali.
Piattaforma RaaS migliorata
A differenza delle versioni precedenti, la nuova piattaforma RaaS di LockBit è stata rinnovata con un’interfaccia grafica molto user friendly. In tal modo gli utenti meno esperti possono personalizzare il ransomware in base all’attacco che hanno in mente in maniera facile e intuitiva. In più, possono anche gestire il maniera agile le comunicazioni con le vittime e calcolare le richieste di riscatto basate sul valore stimato dei dati esfiltrati. A ciò si aggiunge l’ampliamento del programma di bug bounty lanciato con LockBit 3.0. Le ricompense sono notevolmente più generose per coloro che segnalano vulnerabilità o problemi tecnici.
Best practices contro LockBit 4.0
Prevenire in modo assoluto un attacco da parte di un ransomware come LockBit 4.0 è pressoché impossibile, data l’evoluzione costante delle sue tattiche. Tuttavia, esistono alcune pratiche e consigli che possono aiutare le organizzazioni a ridurre il rischio di infezione e mitigare i danni in caso di compromissione.
- Aggiornare costantemente software e sistemi di sicurezza.
Tutti i sistemi operativi, i software applicativi e le piattaforme in uso devono essere aggiornati all’ultima versione disponibile. Le patch di sicurezza vanno installate tempestivamente per chiudere eventuali vulnerabilità sfruttabili dagli attaccanti. - Implementare una soluzione avanzata di filtraggio delle email.
Poiché LockBit 4.0 e ransomware simili spesso utilizzano email di phishing come vettore iniziale, è essenziale adottare strumenti di filtraggio che possano rilevare e bloccare email sospette o contenenti allegati pericolosi. Soluzioni AI-driven possono aumentare significativamente la capacità di intercettare minacce prima che raggiungano i destinatari. - Monitorare e proteggere gli endpoint aziendali.
Gli endpoint rappresentano uno dei punti di ingresso più comuni per gli attaccanti. È necessario dotare tutti i dispositivi connessi alla rete di soluzioni di protezione endpoint, come EDR (Endpoint Detection and Response), e monitorarli costantemente. Un monitoraggio proattivo permette di individuare attività sospette e reagire tempestivamente, minimizzando l’impatto di eventuali intrusioni. - Formare i dipendenti e limitare i privilegi degli utenti.
Tutti i dipendenti e i partner commerciali devono essere istruiti sulle pratiche di sicurezza informatica, come il riconoscimento di email di phishing e l’importanza di utilizzare credenziali robuste. Inoltre, i privilegi utente vanno limitati al minimo necessario per ridurre le opportunità di escalation dei permessi da parte degli attaccanti. - Effettuare regolari backup dei dati critici.
È fondamentale eseguire backup regolari dei dati sensibili e conservarli in una posizione isolata dalla rete principale, come server offline o archivi cloud sicuri. È altrettanto importante testare regolarmente le procedure di ripristino per assicurarsi che i dati possano essere recuperati rapidamente in caso di attacco. - Adottare un piano di risposta agli incidenti.
Ogni organizzazione dovrebbe avere un piano dettagliato per rispondere a un incidente ransomware. Vanno coperti protocolli per l’isolamento dei sistemi compromessi, la comunicazione interna ed esterna e il ripristino delle operazioni.
In conclusione
Il ritorno sulle scene di LockBit testimonia la capacità dei cybercriminali di innovare e adattarsi a qualsiasi situazione. Non è raro, infatti, che nuovi collettivi o gruppi di hacker prendano ransomware esistenti e li modifichino per raggiungere i propri obiettivi, aggiungendo funzionalità sempre più avanzate. LockBit 4.0 si colloca perfettamente in questa tendenza, rappresentando un caso di studio su come la sofisticazione tecnologica e le strategie operative possano combinarsi per massimizzare l’efficacia degli attacchi.
Proprio come per altri ransomware noti, quali Chaos o BlackCat, la lezione più importante che LockBit 4.0 ci offre, è di non abbassare mai la guardia. L’adozione delle migliori pratiche di difesa, l’aggiornamento costante dei sistemi e l’istruzione degli utenti sono misure indispensabili per arginare minacce del genere. Questo perché la consapevolezza dei rischi, unita a una gestione responsabile delle risorse informatiche, può fare la differenza tra un’organizzazione resiliente e una vittima delle circostanze.
- Autore articolo
- Gli ultimi articoli
Classe 1993, ingegnere gestionale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.