L'ANALISI TECNICA

LockBit 3.0: il ransomware ora offre una ricompensa a chi segnala un bug, per diventare inattaccabile

LockBit cambia aspetto: la cyber gang lo aveva annunciato da diversi mesi e ora LockBit 3.0 è una nuova triste realtà criminale, dotata anche di un programma di bug bounty per ricompensare chi segnala vulnerabilità nel codice. Un modo astuto per diventare una vera e propria macchina da cyber guerra

11 Lug 2022
F
Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

Il passaggio, largamente preannunciato, da LockBit 2.0 a LockBit 3.0, sembra essere ormai definitivo. Quello che è considerato il gruppo criminale informatico, specializzato in ransomware, più prolifico insieme ai risultati ottenuto da Conti, ha nuovamente cambiato brand, avanzando di fatto ad una versione successiva.

Questo comporta, proprio come in una normale software house, migliorie lato software e cambiamenti sulle politiche di “business”, introduzione di nuove caratteristiche delle proprie operazioni criminali e un nuovo design grafico sulla propria presenza online.

LockBit 3.0 introduce un programma di Bug Bounty

Decisamente insolita ed inaspettata è la nuova caratteristiche del gruppo criminale, secondo la quale decide di diffondere, tramite il proprio Data Leak Site (DLS) nel dark web (raggiungibile sotto rete Tor), un programma di ricerca vulnerabilità sul proprio software, denominato appunto Bug Bounty.

WHITEPAPER
Basta previsioni incerte: OTTIMIZZA la gestione finanziaria per accelerare la CRESCITA
Finanza/Assicurazioni
Sicurezza dei dati

È una pratica largamente diffusa tra le software house e aziende del mondo IT, quella di “mettere una taglia” su determinati punti deboli, vulnerabilità ed errori di sviluppo, difficili da trovare per i soli programmatori che hanno ufficialmente lavorato al progetto, richiamando così l’attenzione di un ampio pubblico di esperti, hobbysti, ricercatori e studenti, che vogliano cimentarsi nella ricerca, offrendo in cambio una ricompensa.

Meno diffusa, invece, è questa pratica rapportata però al mondo criminale: un ransomware è un software malevolo utilizzato per danneggiare device terzi, al fine di arrecare malfunzionamenti e conseguente estorsione, tenendo in ostaggio i dati della vittima.

LockBit 3.0 introduce proprio questo programma: rivolgendosi a tutti, indica espressamente “all security researchers, ethical and unethical hackers on the planet”, senza esclusione alcuna. Le ricompense, come promesso dal gruppo criminale, varierebbero tra i mille e il milione di dollari. La ricerca, in questo caso, viene focalizzata su vulnerabilità riguardanti il sito Web, la rete Tor, il Locker (lo strumento principale di danneggiamento) e il TOX messenger (la chat utilizzata per le trattative che garantisce l’anonimato).

Il programma include anche un procacciamento di nuove idee (utili al gruppo criminale per incrementare i guadagni illeciti) e una ricompensa speciale dedicata al Doxing, cioè chiunque riesca ad ottenere (forze di polizia o no), informazioni sull’identificazione reale delle persone a capo del gruppo criminale LockBit.

Un programma completo e incredibilmente generoso, che fa di LockBit 3.0 una realtà criminale sempre più strutturata e dedita agli affari (illegali).

Nuovo sito Web per esporre le vittime

Aggiornamento del 11/07/2022. Sempre a discapito delle vittime la cui trattativa per il riscatto viene meno, LockBit, come ultima azione di questo nuovo design e rebranding, aggiunge anche un ulteriore sito Web, a quelli già noti e gestiti dalla cyber gang. Si tratta di una lista di tutte le vittime colpite da questo ransomware, esposte su tabelle che offrono la possibilità di avere un elenco alfabetico e ricercabile con filtro interno.

La nuova struttura e il nuovo design

Come detto, LockBit 3.0 si porta dietro anche un restyling completo del sito Web utilizzato come punto di riferimento online della cyber gang. Nuovi indirizzi e nuovi mirror per raggiungere il portale dove vengono esposte le vittime.

La versione ormai popolare di LockBit 2.0 è tuttora online e accessibile, con l’elenco delle vittime sempre presente, anche se i mirrors non sempre risultano essere tutti disponibili, presumibilmente per questa fase di transizione e migrazione verso la nuova infrastruttura di LockBit 3.0. Così come gli indirizzi .onion del nuovo brand 3.0 che, spesso, ancora oggi emettono errori di connessione all’accesso.

Come si è arrivati a LockBit 3.0

Il 12 marzo un utente pubblica un post su un noto forum underground dal titolo “lockbit fuckup thread”. In effetti, l’utente espone una serie di bug nel ransomware, dettagliandone i riferimenti, secondo i quali risulta possibile recuperare la crittografia dei database MSSQL.

Lo stesso giorno a questo post risponde un affiliato di Lockbit confermando che si tratta di un bug ormai superato dalla prossima versione 3.0 del ransomware. Nominando ed annunciando in questa maniera, per la prima volta, l’esistenza di un Lockbit 3.0.

La ricerca in tal senso è stata poi affinata qualche giorno dopo (il 17 marzo) da VX-Underground che ha diffuso una chat con Lockbit nella quale si afferma che Lockbit 3.0 avrebbe iniziato ad essere utilizzato circa dopo una o due settimane.

Dalla giornata di domenica 26 giugno, Cybersecurity360 ha constatato che una versione embrionale del nuovo sito era già disponibile online, con la nuova grafica, su alcuni dei vecchi mirror di LockBit 2.0.

Ecco come appariva domenica il mirror 1 e 2 di LockBit 2.0, che invece presentava il nuovo brand LockBit 3.0, come si può notare dall’immagine.

Nella giornata di lunedì e martedì appena passati, questa pagina è stata completata e popolata, presentando la nuova interfaccia grafica dell’operazione criminale LockBit, esattamente come oggi possiamo conoscerla.

Una nuova caratteristica rilevabile è anche la modulazione dei riscatti e le pressioni che vengono fatte alle vittime. All’interno delle nuove rivendicazioni infatti, compare una nuova modalità di “acquisto” del tempo che la gang offre prima di pubblicare i dati che sono stati rubati.

Questa sezione, incita le vittime a pagare il riscatto ma nuove offerte danno la possibilità alle gang criminale di guadagnare, estendendo di 24 ore il termine per la pubblicazione dei dati, oppure un “saldo e stralcio” con la promessa di eliminazione di tutti le informazioni sulla vittima in loro possesso e la possibilità di scaricare tutti i dati in qualunque momento.

LockBit 3.0 appare dunque sempre più orientato al business, strutturato ed estremamente sicuro di sé. Con attori di minacce di questo genere, vista la proficua produzione che li accompagna, l’unica arma per pubbliche amministrazione e small business, è la prevenzione. Evitare esposizione ad Internet di segmenti di rete non necessariamente da esporre, formazione adeguata del personale sui delicati temi di igiene digitale, manutenzione puntuale delle risorse esposte ad Internet e delle relative vulnerabilità note che le colpiscono. Sono solo alcuni dei punti su cui è sempre più importante prestare massima attenzione.

La prevenzione con l’applicazione di buone pratiche di sicurezza informatica è l’unica arma efficace oggi a disposizione.

Articolo pubblicato il 29 giugno 2022 e aggiornato in seguito alla creazione del nuovo sito Web di lista delle vittime

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza
@RIPRODUZIONE RISERVATA

Articolo 1 di 5