Il ransomware LockBit è una delle minacce informatiche più note al giorno d’oggi e si è evoluto fino a diventare uno dei gruppi più sofisticati e pericolosi sulla scena mondiale. Con un modello Ransomware-as-a-Service (RaaS), LockBit consente agli affiliati di portare a termine gli attacchi in modo efficace, prendendo di mira soprattutto grandi aziende e istituzioni.

LockBit è una variante di ransomware rilevata per la prima volta nel settembre 2019, che ha rapidamente guadagnato notorietà per la sua capacità di criptare efficacemente i dati e di richiedere riscatti esorbitanti. La sua terza versione, LockBit 3.0, ha introdotto miglioramenti all’infrastruttura del ransomware, rendendo gli attacchi più veloci, più difficili da rilevare e ancora più devastanti per le vittime.

A differenza di altri gruppi di ransomware, LockBit si concentra sulle grandi aziende, sfruttando le vulnerabilità dei sistemi di sicurezza e implementando una crittografia dei dati quasi irreversibile se non viene pagato il riscatto.

Come funziona il Gruppo LockBit?

Il gruppo LockBit opera sulla base del modello Ransomware-as-a-Service (RaaS), in cui gli sviluppatori forniscono il software dannoso agli affiliati, che sono responsabili dell’esecuzione degli attacchi. Questi affiliati ricevono una percentuale significativa del riscatto, mentre il resto viene consegnato agli sviluppatori del ransomware.

Alcune delle principali strategie utilizzate dagli operatori comprendono:

  • Sfruttamento delle vulnerabilità: Gli aggressori sfruttano le vulnerabilità note e mal configurate dei sistemi IT, come i server non patchati o i firewall mal gestiti.
  • Phishing mirato: Il gruppo utilizza tattiche di social engineering e spear-phishing per indurre i dipendenti a scaricare malware o a fornire credenziali di accesso.
  • Esfiltrazione dei dati: Prima di crittografare i file, il gruppo LockBit esfila grandi volumi di dati, il che conferisce loro un ulteriore potere negoziale in quanto possono minacciare di far trapelare informazioni riservate.

Una caratteristica distintiva di LockBit 3.0 è il suo programma di bug bounty – una pratica insolita per i gruppi di ransomware – che offre ricompense a chiunque trovi falle nel proprio software, aumentando la solidità delle proprie operazioni.

Dati recenti sull’impatto globale

Secondo il Ransomware Report 2024 di Cybersecurity Ventures, si prevede che il ransomware nel suo complesso causerà danni globali per un totale di circa 265 miliardi di dollari entro il 2031, con LockBit responsabile di una parte significativa dei recenti attacchi. Nel 2023, LockBit è stato coinvolto in oltre il 40% di tutti gli incidenti ransomware segnalati a livello globale.

L’unità di cyber intelligence di Chainalysis ha riferito che nel 2022 LockBit ha accumulato circa 91 milioni di dollari in pagamenti di riscatti, con una media di 1,5 milioni di dollari per vittima. Inoltre, uno studio di Sophos ha dimostrato che, in media, gli attacchi LockBit provocano 21 giorni di inattività per le aziende colpite, causando enormi perdite operative.

Evoluzione del ransomware LockBit

Il ransomware LockBit è ampiamente conosciuto nel mondo della sicurezza informatica per la sua rapida evoluzione e le varie versioni che hanno introdotto miglioramenti e tattiche più sofisticate. Dalla sua prima apparizione nel 2019, LockBit ha subito una serie di aggiornamenti significativi, con ogni nuova versione che ha reso il ransomware più potente, efficiente e difficile da combattere.

LockBit 1.0: L’inizio (2019)

La versione originale di LockBit, rilasciata nel settembre 2019, è stata una delle prime a utilizzare la tecnica dell'”autopropagazione”, in cui il ransomware si muove lateralmente all’interno della rete, infettando rapidamente altri dispositivi e server collegati. Alcune caratteristiche degne di nota di LockBit 1.0 includono:

  • Autopropagazione tramite SMB: il ransomware sfrutta le vulnerabilità del protocollo Server Message Block (SMB) per spostarsi lateralmente attraverso una rete.
  • Crittografia rapida: fin dalla sua prima versione, LockBit si è distinto per la sua capacità di crittografare i dati rapidamente, riducendo al minimo la finestra di risposta per i team di sicurezza.
  • Focus sulle grandi aziende: la prima versione di LockBit era rivolta alle grandi organizzazioni, sfruttando le vulnerabilità delle reti aziendali.

Questa prima versione indicava già la serietà del gruppo, con attacchi riusciti a grandi aziende, ma non offriva funzionalità più avanzate come quelle introdotte nelle versioni successive.

LockBit 2.0: perfezionamento e doppia minaccia (2021)

Nel giugno 2021, il gruppo ha lanciato LockBit 2.0, che ha apportato una serie di miglioramenti e ha reso il ransomware una delle minacce più dominanti sulla scena mondiale. Tra i miglioramenti significativi di questa versione ci sono:

  • Modello Ransomware-as-a-Service (RaaS): LockBit 2.0 ha formalizzato il suo modello RaaS, consentendo agli operatori affiliati di utilizzare il ransomware in cambio di una percentuale sui riscatti. Ciò ha ampliato la base di operatori e aumentato la frequenza degli attacchi.
  • Doppia estorsione: è stata introdotta la tecnica della doppia estorsione, in cui gli aggressori non si limitano a crittografare i dati, ma esfiltrare anche le informazioni riservate. La minaccia di divulgare questi dati crea ulteriore pressione sulla vittima affinché paghi il riscatto.
  • Velocità di crittografia ottimizzata: LockBit 2.0 è diventato uno dei ransomware più veloci, in grado di criptare intere reti in pochi minuti, riducendo drasticamente i tempi di risposta dei team IT.
  • Interfaccia di negoziazione migliorata: la versione 2.0 ha anche migliorato il processo di negoziazione tra le vittime e gli operatori di ransomware, con siti di pagamento dedicati e comunicazione diretta.

I miglioramenti apportati a LockBit 2.0 rendono questa versione particolarmente efficace contro le aziende che non sono preparate ad affrontare l’esfiltrazione dei dati, poiché la perdita di informazioni critiche o riservate potrebbe causare danni irreparabili alla reputazione e alle operazioni.

LockBit 3.0 (LockBit Black): La svolta tecnologica (2022)

Lanciato all’inizio del 2022, LockBit 3.0, noto anche come LockBit Black, è la versione più recente e avanzata di questo ransomware. Con miglioramenti significativi, LockBit 3.0 non solo ha continuato con le tattiche di doppia estorsione e RaaS, ma ha anche innovato in diverse aree, come l’incorporazione di programmi di bug bounty per coloro che trovano difetti nel ransomware. Le principali novità di LockBit 3.0:

  • Programma Bug Bounty: per la prima volta nella storia del ransomware, LockBit 3.0 ha introdotto un programma bug bounty, in cui gli hacker offrono ricompense a chiunque trovi vulnerabilità nel proprio software, migliorando l’efficacia e la sicurezza dell’operazione.
  • Crittografia selettiva: a differenza delle versioni precedenti, LockBit 3.0 è in grado di crittografare selettivamente i file critici, velocizzando il processo e dando priorità ai dati più preziosi.
  • Protezione anti-analisi: sono state introdotte tecniche di evasione avanzate per evitare il rilevamento da parte delle soluzioni di sicurezza, rendendo l’analisi del ransomware più difficile per gli esperti di cybersicurezza.
  • Maggiore velocità: la crittografia e il movimento laterale all’interno delle reti sono diventati ancora più veloci ed efficienti, con l’obiettivo di massimizzare l’impatto prima che sia possibile una risposta di mitigazione.
  • Personalizzazione del riscatto: LockBit 3.0 consente agli operatori di personalizzare le richieste di riscatto, rendendo il processo di estorsione più specifico per ogni vittima e aumentando così l’efficacia delle trattative.

Inoltre, LockBit 3.0 ha rafforzato le sue misure di anonimato, utilizzando una crittografia sofisticata per proteggersi dalle autorità di sicurezza. Questo nuovo livello di sofisticazione ha consolidato LockBit come uno dei ransomware più pericolosi in circolazione.

Confronto tra le versioni

CaratteristicheLockBit 1.0LockBit 2.0LockBit 3.0 (Black)
Anno di uscita201920212022
Modello RaaSNo
CrittografiaVelocePiù veloce e più efficienteSelettivo e ancora più veloce
Doppia estorsioneNo
Programma Bug BountyNoNo
Protezione anti-analisidi baseApprezzatoAvanzato
Movimento lateraleTramite SMBTramite SMB e RDPPiù efficiente e invisibile
Interfaccia di tradingBaseApprezzatoInterfaccia ma avançada

Il ransomware LockBit continua a evolversi a un ritmo allarmante, con ogni versione che porta miglioramenti che rendono gli attacchi più veloci, più difficili da prevenire e più devastanti. A partire da LockBit 1.0, il gruppo è diventato rapidamente una forza dominante con LockBit 2.0, adottando una doppia estorsione e un modello RaaS che ha attirato innumerevoli affiliati. Con LockBit 3.0 (LockBit Black), il gruppo ha ridefinito la sofisticazione del ransomware, introducendo la crittografia selettiva, programmi di bug bounty e protezioni avanzate contro il rilevamento.

Per proteggersi da LockBit e dalle sue varianti sono necessarie solide misure di sicurezza informatica, come backup regolari, segmentazione della rete, rilevamento delle intrusioni e creazione di piani di risposta agli incidenti. Tenersi aggiornati sulle ultime tattiche del gruppo LockBit è fondamentale per mitigare i danni e minimizzare i rischi. Se siete stati colpiti da un attacco ransomware Lockbit, potete contare sulle nostre soluzioni per decriptare i file ransomware; contattate subito i nostri esperti.

Domande Frequenti sul Recupero Ransomware

Ogni giorno, gli attacchi ransomware diventano sempre migliori. Dopo un tentativo di attacco riuscito, il ransomware mappa rapidamente i file più importanti dell’utente per iniziare la crittografia. I file di Microsoft Office, i database, i PDF e il design sono tra i suoi obiettivi principali.

Sì, ma il ransomware è progettato per non essere identificato dal firewall, quindi può infiltrarsi nel sistema interno dell’azienda e disabilitare le difese, muoversi lateralmente e alterare le routine di backup.

Ottenere l’aiuto di un Esperto per Decriptare i File ›

L’utente può identificare l’azione del ransomware, anche se il sistema non può identificarlo, il malware usa le risorse proprie del sistema per il processo di crittografia, e può essere lento a rispondere alle richieste dell’utente.

Le estensioni dei file vengono cambiate, viene aggiunta un’estensione specifica che menziona il gruppo di attaccanti. Restate sintonizzati per questi segnali.

Sì, è possibile. Ma c’è il rischio che alcuni file vengano corrotti. Una volta identificata l’azione del ransomware sul sistema, disconnetti il dispositivo da internet, questo interromperà la comunicazione di gruppo con il malware, alcuni ransomware possono continuare la crittografia anche senza accesso a internet.

È anche possibile avviare le contromisure dell’antivirus per isolare il malware ed eliminarlo, se l’antivirus non è stato disabilitato dal ransomware.

Arrestare la crittografia è estremamente difficile, il ransomware è progettato per disabilitare qualsiasi contromisura del sistema o dell’utente, diminuendo le possibilità che il processo venga interrotto.

Ottenere l’aiuto di un Esperto per Decriptare i File ›

Gli attacchi di solito avvengono quando c’è un calo del flusso di utenti nel sistema, che accade nei fine settimana e nei giorni festivi, durante le prime ore del mattino, rendendo queste date adatte agli attacchi.

Ottenere l’aiuto di un Esperto per Decriptare i File ›

Ci sono numerosi algoritmi di crittografia, ma i più usati sono RSA [Rivest-Shamir-Adleman]-2048 e AES [Advanced Encryption Standard].

Ottenere l’aiuto di un Esperto per Decriptare i File ›

Prima di tutto, mantenete la calma, i criminali contano sulla disperazione della vittima. Seguite questi consigli:

  • Isolare il dispositivo interessato – Il ransomware può muoversi lateralmente attraverso il sistema e raggiungere altri dispositivi, quindi è importante isolare il suo campo d’azione.
  • Verificare il backup – Se il backup non è stato raggiunto dal ransomware, i dati possono essere ripristinati rapidamente senza grandi problemi.
  • Evitare il contatto con i criminali – I criminali usano tattiche psicologiche per estorcere più denaro possibile nel minor tempo possibile, il fatto che la vittima sia emotivamente coinvolta nell’incidente la rende un facile bersaglio.
  • Non negoziare con i criminali – Il gruppo non dà alcuna garanzia che la chiave di decrittazione sarà rilasciata dopo il pagamento del riscatto, devi prendere solo la parola dei criminali. Inoltre il pagamento finanzierà il gruppo per ulteriori attacchi.
  • Contattare le autorità governative – Il governo ha agenzie specializzate nella lotta contro gli attacchi informatici, che indagheranno sul caso.
  • Contattare un’azienda specializzata nella decriptazione di file Ransomware – RansomHunter è in grado di decifrare i file ransomware senza bisogno della chiave di decrittazione, le loro soluzioni sono un’opzione per pagare il riscatto.

 

Ottenere l’aiuto di un Esperto per Decriptare i File ›

Dopo il primo contatto e l’invio dei dati faremo una diagnosi dei file per verificare l’entità del danno causato dal ransomware, con questo possiamo proiettare la durata del processo e fornire il budget.

Dopo che il cliente ha approvato il budget, iniziamo il processo di decrittazione, per questo abbiamo un software esclusivo che può, con l’aiuto dei nostri specialisti, ricostruire i dati.

Dopo la fine del processo faremo un doppio controllo in modo che il cliente possa verificare l’integrità dei file recuperati.

Il pagamento viene effettuato solo dopo la consegna dei file e la convalida degli stessi da parte del cliente.

Ottenere l’aiuto di un Esperto per Decriptare i File ›

Siamo Sempre Online

Compila il modulo e ci metteremo in contatto con te per iniziare la decriptazione dei tuoi file.
Sempre a tua disposizione, 24×7

Le Ultime Intuizioni dei Nostri Esperti

database

Recuperare il Database MySQL

MySQL è uno dei database più conosciuti al mondo per la sua semplicità ed efficacia. Ma ancora, ci sono casi di perdita di dati in MySQL, e se questo accade è necessario sapere come procedere con il recupero dei dati.

Leggi Tutto