Lockbit, chi è e come agisce la gang del ransomware - Cyber Security 360

l'analisi tecnica

Lockbit, chi è e come agisce la gang del ransomware

Un’analisi approfondita di quello che sappiamo su Lockbit e sul suo modus operandi. Una gang colpevole di molti attacchi recenti

12 Ago 2021
D
Emanuele De Lucia

Director of Cyber Intelligence presso Cluster25

La gang del ransomware Lockbit ha messo il proprio marchio dietro su molti attacchi recenti, tra luglio e agosto 2021, come quelli a Erg ed Engineering in Italia e ad Accenture.

Chi sono quelli di Lockbit, la gang del ransomware

E’ nel febbraio del 2020 che la crew “LockBit”, una gang criminale originario dell’Europa orientale, ha iniziato ad affermarsi come membro d’élite nella comunità underground, presentando al mondo un nuovo ransomware al quale da lì a poco sarà assegnato il medesimo nome della gang.

Ransomware ad Accenture, Lockbit: “abbiamo i vostri dati, pagateci”

Le caratteristiche 

Competenze tecniche di rilievo ed un modello di business innovativo hanno da subito contraddistinto questo gruppo criminale che riuscirà in breve tempo ad imporre il proprio prodotto come standard di riferimento nel panorama delle minacce ransomware. Ad oggi è una organizzazione molto ben inserita all’interno della comunità criminale tanto che l’accesso al suo programma di affiliazione molto spesso dipende non solo dalle abilità tecniche dei singoli, ma anche dalle relazioni che un potenziale candidato può vantare.

Kill-Chain di Lockbit

Il sindacato “LockBit” è composto da un numero di affiliati che oscilla solitamente fra le 25 e le 30 unità, oltre a specialisti di settore come esperti nella diffusione del malware, esperti nell’evasione dei sistemi di rilevamento, programmatori, esperti nella raccolta di credenziali di accesso etc.etc. Con una media di 70 / 80 vittime per affiliato, oggi LockBit conta all’attivo più di 2200 cyber-operazioni concluse con successo. Se consideriamo tali numeri, esplicitare delle TTPs (Tecniche, Tattiche e Procedure) relative a tale minaccia è quanto meno riduttivo poiché ogni affiliato tenderà ad utilizzare le proprie. Tuttavia, in genere, un attacco perpetrato dal gruppo LockBit (in modo similare ad altri gruppi) seguirà delle fasi prestabilite.

Come agisce Lockbit

Entriamo nel dettaglio della tattica di Lockbit.

Selezione della vittima

Gli affiliati solitamente fanno affidamento su più metodi per selezionare i loro potenziali obiettivi. Fra questi sicuramente rientrano tecniche quali il phishing, la scansione massiva di vulnerabilità ed ultimamente anche gli impiegati infedeli. Sino ad ora, tuttavia, il metodo più frequentemente utilizzato è stato quello di acquistare, dall’underground digitale, accessi RDP (Remote Desktop Protocol) già compromessi. In molti casi sono proprio alcuni degli appartenenti al sindacato LockBit a specializzarsi nelle pratiche di acquisizione di tali credenziali per poi venderle e/o distribuirle sia all’interno del sindacato che fuori. Il valore di queste credenziali può oscillare moltissimo in base alla vittima. Solitamente vanno dalle poche decine fino a diverse migliaia di dollari.

Intrusione, Enumerazione ed Esfiltrazione

Dopo aver ottenuto l’accesso ai server vittima, gli affiliati LockBit di solito avviano un processo chiamato di “enumerazione”. Gli attaccanti cercheranno di identificare i sistemi c.d. “mission-critical” come dispositivi di backup e/o di storage e gestori di dominio. In questa fase l’attaccante solitamente utilizza altresì strumenti utili all’acquisizione dei dati sensibili della vittima, che saranno poi probabilmente sfruttati nei classici modelli a doppia estorsione. A tal proposito il sindacato LockBit mette a disposizione dei suoi affiliati anche un tool appositamente progettato, chiamato StealBit.

Esecuzione

In tale fase il ransomware viene eseguito all’interno dell’ambiente vittima. Esso è operato in modalità manuale e prevede l’interazione diretta degli attaccanti con i sistemi del perimetro da colpire.  Non appena avviato esso proverà a catalogare e ad identificare i punti critici da colpire (come directory di rete e condivisioni) per poi dare inizio alla fase in cui ogni file e documento viene crittografato. Per assicurarsi che questi non possano essere recuperati se non dietro pagamento di un riscatto, LockBit utilizza una chiave AES casuale, a sua volta crittografata con una chiave pubblica statica presente all’interno del malware. La chiave AES viene inclusa all’interno del file di destinazione. Il risultato di tale operazione sarà che ciascun file verrà crittografato con una chiave sempre diversa.

Trattativa

Al termine della fase di esecuzione del ransomware, subentra la fase della trattativa, dove la vittima è invitata a prendere contatto con l’attaccante al fine di ottenere un “decryptor” utile al recupero dei files e dei documenti resi indisponibili. Il “supporto” LockBit a questo punto potrebbe adottare diversi approcci psicologici per spingere la vittima al pagamento del riscatto. Nella maggior parte delle trattative gli attaccanti sembrano porsi come nella posizione di esser sul punto di chiudere un vero e proprio accordo commerciale, utilizzando nelle loro frasi termini tipo “contratto” e/o “condizioni”, in altri casi sembrano essere più perentori ed usare la strategia della minaccia usando espressioni del tipo “ti rimangono solo XXX ore” oppure “stiamo per pubblicare tutto”.

Come affrontare la minaccia Lockbit

Come nella gestione di altri rischi nel mondo digitale, mitigare la minaccia “LockBit” fa parte di processi e procedure molto più estese. Tuttavia, a partire dalle Tecniche e Procedure utilizzate maggiormente dagli affiliati di questo gruppo (in base alla matrice MITRE ATT&CK di riferimento), è possibile focalizzarsi principalmente su quanto segue:

  1. Verificare se l’organizzazione utilizza dispositivi e/o servizi per l’accesso remoto (soprattutto RDP) e risolvere eventuali loro vulnerabilità / debolezze.
  2. Abilitare l’autenticazione a più fattori (MFA) per tutti gli account utente. Applicare strategie e modelli di accesso Zero-Trust qualora possibile.
  3. Applicare i concetti di segmentazione delle reti al fine di separare i dati sensibili dagli ambienti aziendali comuni e di produzione.
  4. Limitare la concessione di privilegi di amministrazione ed in generale concedere solo i privilegi necessari allo svolgimento delle singole attività.
  5. Applicare un programma interno di aggiornamento dei sistemi e delle applicazioni.
  6. Eseguire backup dei dati giornalieri. Verificare le loro procedure di ripristino ed integrità. Mantenere i backup crittografati ed offline.
  7. Verificare l’esposizione di credenziali di accesso appartenenti alla propria infrastruttura mediante servizi dedicati ed affidabili.
@RIPRODUZIONE RISERVATA

Articolo 1 di 5