Il ransomware LockBit è una delle minacce informatiche più note al giorno d’oggi e si è evoluto fino a diventare uno dei gruppi più sofisticati e pericolosi sulla scena mondiale. Con un modello Ransomware-as-a-Service (RaaS), LockBit consente agli affiliati di portare a termine gli attacchi in modo efficace, prendendo di mira soprattutto grandi aziende e istituzioni.
LockBit è una variante di ransomware rilevata per la prima volta nel settembre 2019, che ha rapidamente guadagnato notorietà per la sua capacità di criptare efficacemente i dati e di richiedere riscatti esorbitanti. La sua terza versione, LockBit 3.0, ha introdotto miglioramenti all’infrastruttura del ransomware, rendendo gli attacchi più veloci, più difficili da rilevare e ancora più devastanti per le vittime.
A differenza di altri gruppi di ransomware, LockBit si concentra sulle grandi aziende, sfruttando le vulnerabilità dei sistemi di sicurezza e implementando una crittografia dei dati quasi irreversibile se non viene pagato il riscatto.
Come funziona il Gruppo LockBit?
Il gruppo LockBit opera sulla base del modello Ransomware-as-a-Service (RaaS), in cui gli sviluppatori forniscono il software dannoso agli affiliati, che sono responsabili dell’esecuzione degli attacchi. Questi affiliati ricevono una percentuale significativa del riscatto, mentre il resto viene consegnato agli sviluppatori del ransomware.
Alcune delle principali strategie utilizzate dagli operatori comprendono:
- Sfruttamento delle vulnerabilità: Gli aggressori sfruttano le vulnerabilità note e mal configurate dei sistemi IT, come i server non patchati o i firewall mal gestiti.
- Phishing mirato: Il gruppo utilizza tattiche di social engineering e spear-phishing per indurre i dipendenti a scaricare malware o a fornire credenziali di accesso.
- Esfiltrazione dei dati: Prima di crittografare i file, il gruppo LockBit esfila grandi volumi di dati, il che conferisce loro un ulteriore potere negoziale in quanto possono minacciare di far trapelare informazioni riservate.
Una caratteristica distintiva di LockBit 3.0 è il suo programma di bug bounty – una pratica insolita per i gruppi di ransomware – che offre ricompense a chiunque trovi falle nel proprio software, aumentando la solidità delle proprie operazioni.
Dati recenti sull’impatto globale
Secondo il Ransomware Report 2024 di Cybersecurity Ventures, si prevede che il ransomware nel suo complesso causerà danni globali per un totale di circa 265 miliardi di dollari entro il 2031, con LockBit responsabile di una parte significativa dei recenti attacchi. Nel 2023, LockBit è stato coinvolto in oltre il 40% di tutti gli incidenti ransomware segnalati a livello globale.
L’unità di cyber intelligence di Chainalysis ha riferito che nel 2022 LockBit ha accumulato circa 91 milioni di dollari in pagamenti di riscatti, con una media di 1,5 milioni di dollari per vittima. Inoltre, uno studio di Sophos ha dimostrato che, in media, gli attacchi LockBit provocano 21 giorni di inattività per le aziende colpite, causando enormi perdite operative.
Evoluzione del ransomware LockBit
Il ransomware LockBit è ampiamente conosciuto nel mondo della sicurezza informatica per la sua rapida evoluzione e le varie versioni che hanno introdotto miglioramenti e tattiche più sofisticate. Dalla sua prima apparizione nel 2019, LockBit ha subito una serie di aggiornamenti significativi, con ogni nuova versione che ha reso il ransomware più potente, efficiente e difficile da combattere.
LockBit 1.0: L’inizio (2019)
La versione originale di LockBit, rilasciata nel settembre 2019, è stata una delle prime a utilizzare la tecnica dell'”autopropagazione”, in cui il ransomware si muove lateralmente all’interno della rete, infettando rapidamente altri dispositivi e server collegati. Alcune caratteristiche degne di nota di LockBit 1.0 includono:
- Autopropagazione tramite SMB: il ransomware sfrutta le vulnerabilità del protocollo Server Message Block (SMB) per spostarsi lateralmente attraverso una rete.
- Crittografia rapida: fin dalla sua prima versione, LockBit si è distinto per la sua capacità di crittografare i dati rapidamente, riducendo al minimo la finestra di risposta per i team di sicurezza.
- Focus sulle grandi aziende: la prima versione di LockBit era rivolta alle grandi organizzazioni, sfruttando le vulnerabilità delle reti aziendali.
Questa prima versione indicava già la serietà del gruppo, con attacchi riusciti a grandi aziende, ma non offriva funzionalità più avanzate come quelle introdotte nelle versioni successive.
LockBit 2.0: perfezionamento e doppia minaccia (2021)
Nel giugno 2021, il gruppo ha lanciato LockBit 2.0, che ha apportato una serie di miglioramenti e ha reso il ransomware una delle minacce più dominanti sulla scena mondiale. Tra i miglioramenti significativi di questa versione ci sono:
- Modello Ransomware-as-a-Service (RaaS): LockBit 2.0 ha formalizzato il suo modello RaaS, consentendo agli operatori affiliati di utilizzare il ransomware in cambio di una percentuale sui riscatti. Ciò ha ampliato la base di operatori e aumentato la frequenza degli attacchi.
- Doppia estorsione: è stata introdotta la tecnica della doppia estorsione, in cui gli aggressori non si limitano a crittografare i dati, ma esfiltrare anche le informazioni riservate. La minaccia di divulgare questi dati crea ulteriore pressione sulla vittima affinché paghi il riscatto.
- Velocità di crittografia ottimizzata: LockBit 2.0 è diventato uno dei ransomware più veloci, in grado di criptare intere reti in pochi minuti, riducendo drasticamente i tempi di risposta dei team IT.
- Interfaccia di negoziazione migliorata: la versione 2.0 ha anche migliorato il processo di negoziazione tra le vittime e gli operatori di ransomware, con siti di pagamento dedicati e comunicazione diretta.
I miglioramenti apportati a LockBit 2.0 rendono questa versione particolarmente efficace contro le aziende che non sono preparate ad affrontare l’esfiltrazione dei dati, poiché la perdita di informazioni critiche o riservate potrebbe causare danni irreparabili alla reputazione e alle operazioni.
LockBit 3.0 (LockBit Black): La svolta tecnologica (2022)
Lanciato all’inizio del 2022, LockBit 3.0, noto anche come LockBit Black, è la versione più recente e avanzata di questo ransomware. Con miglioramenti significativi, LockBit 3.0 non solo ha continuato con le tattiche di doppia estorsione e RaaS, ma ha anche innovato in diverse aree, come l’incorporazione di programmi di bug bounty per coloro che trovano difetti nel ransomware. Le principali novità di LockBit 3.0:
- Programma Bug Bounty: per la prima volta nella storia del ransomware, LockBit 3.0 ha introdotto un programma bug bounty, in cui gli hacker offrono ricompense a chiunque trovi vulnerabilità nel proprio software, migliorando l’efficacia e la sicurezza dell’operazione.
- Crittografia selettiva: a differenza delle versioni precedenti, LockBit 3.0 è in grado di crittografare selettivamente i file critici, velocizzando il processo e dando priorità ai dati più preziosi.
- Protezione anti-analisi: sono state introdotte tecniche di evasione avanzate per evitare il rilevamento da parte delle soluzioni di sicurezza, rendendo l’analisi del ransomware più difficile per gli esperti di cybersicurezza.
- Maggiore velocità: la crittografia e il movimento laterale all’interno delle reti sono diventati ancora più veloci ed efficienti, con l’obiettivo di massimizzare l’impatto prima che sia possibile una risposta di mitigazione.
- Personalizzazione del riscatto: LockBit 3.0 consente agli operatori di personalizzare le richieste di riscatto, rendendo il processo di estorsione più specifico per ogni vittima e aumentando così l’efficacia delle trattative.
Inoltre, LockBit 3.0 ha rafforzato le sue misure di anonimato, utilizzando una crittografia sofisticata per proteggersi dalle autorità di sicurezza. Questo nuovo livello di sofisticazione ha consolidato LockBit come uno dei ransomware più pericolosi in circolazione.
Confronto tra le versioni
Caratteristiche | LockBit 1.0 | LockBit 2.0 | LockBit 3.0 (Black) |
Anno di uscita | 2019 | 2021 | 2022 |
Modello RaaS | No | SÌ | SÌ |
Crittografia | Veloce | Più veloce e più efficiente | Selettivo e ancora più veloce |
Doppia estorsione | No | SÌ | SÌ |
Programma Bug Bounty | No | No | SÌ |
Protezione anti-analisi | di base | Apprezzato | Avanzato |
Movimento laterale | Tramite SMB | Tramite SMB e RDP | Più efficiente e invisibile |
Interfaccia di trading | Base | Apprezzato | Interfaccia ma avançada |
Il ransomware LockBit continua a evolversi a un ritmo allarmante, con ogni versione che porta miglioramenti che rendono gli attacchi più veloci, più difficili da prevenire e più devastanti. A partire da LockBit 1.0, il gruppo è diventato rapidamente una forza dominante con LockBit 2.0, adottando una doppia estorsione e un modello RaaS che ha attirato innumerevoli affiliati. Con LockBit 3.0 (LockBit Black), il gruppo ha ridefinito la sofisticazione del ransomware, introducendo la crittografia selettiva, programmi di bug bounty e protezioni avanzate contro il rilevamento.
Per proteggersi da LockBit e dalle sue varianti sono necessarie solide misure di sicurezza informatica, come backup regolari, segmentazione della rete, rilevamento delle intrusioni e creazione di piani di risposta agli incidenti. Tenersi aggiornati sulle ultime tattiche del gruppo LockBit è fondamentale per mitigare i danni e minimizzare i rischi. Se siete stati colpiti da un attacco ransomware Lockbit, potete contare sulle nostre soluzioni per decriptare i file ransomware; contattate subito i nostri esperti.