Via delle Sette Chiese, 144 - 00145 Roma
800 616 191
info.agenti@usarci.it

Kaspersky analizza il ransomware di LockBit che si finge un dipendente e si auto-diffonde

16/04/2024

Kaspersky analizza il ransomware di LockBit che si finge un dipendente e si auto-diffonde

(Adnkronos) - Milano, 16 Aprile 2024. LockBit, builder leak apparso nel 2022, continua a essere una minaccia. In seguito a un recente incidente, il team Kaspersky Global Emergency Response sta facendo luce su un attacco in cui è stata creata una variante del malware di encryption con funzionalità di auto propagazione. Sfruttando le credenziali di accesso rubate come amministratore, i criminali informatici hanno violato le infrastrutture. L'incidente è avvenuto in Africa occidentale, ma anche in altre regioni si sono verificati attacchi ransomware builder-base, sebbene privi delle caratteristiche sofisticate che sono state osservate in questo caso.  

L'ultimo attacco si è verificato in Guinea-Bissau e ha rivelato che il ransomware modificato impiega tecniche inedite. Può creare un effetto valanga incontrollato, con host infetti che tentano di diffondere ulteriormente il malware all'interno della rete della vittima. Dopo il recente episodio, Kaspersky sta realizzando un'analisi dettagliata. 

Impersonificazione: sfruttando le credenziali acquisite in modo illecito, l’attore della minaccia si finge l'amministratore di sistema con privilegi. Questo scenario è molto critico, poiché gli account con privilegi offrono ampie possibilità di eseguire l'attacco e ottenere l’accesso alle aree più sensibili dell'infrastruttura aziendale. 

Auto-diffusione: il ransomware personalizzato può anche diffondersi autonomamente all’interno della rete utilizzando credenziali ad elevato livello di privilegi e condurre attività dannose, come la disabilitazione di Windows Defender, la crittografia delle condivisioni di rete e la cancellazione di Windows Event Logs per criptare i dati e nascondere le proprie attività.  

Il comportamento del malware si traduce nello scenario in cui ogni host violato cerca di infettare altri host all'interno della rete.  

Funzionalità adattive: i file di configurazione personalizzati, insieme alle funzionalità citate, consentono al malware di adattarsi alle configurazioni specifiche dell'architettura aziendale della vittima. Ad esempio, l'aggressore può impostare il ransomware per infettare solo file specifici, come tutti i documenti .xlsx e .docx o solo un gruppo di sistemi specifici.  

Durante l'esecuzione di questa versione modificata in una virtual machine, Kaspersky ha osservato che il ransomware esegue attività dannose e genera una richiesta di riscatto personalizzata sul desktop. In situazioni reali, questa richiesta include dettagli su come la vittima deve contattare gli aggressori per ottenere il decodificatore. 

"Il builder LockBit 3.0 è apparso nel 2022, ma gli aggressori lo utilizzano ancora attivamente per creare versioni personalizzate e non richiede competenze di programmazione avanzate. Questa flessibilità consente agli avversari di migliorare l'efficacia dei propri attacchi, come dimostra il recente caso. Inoltre, rende questo tipo di attacchi ancora più pericolosi, considerando l'aumento della frequenza delle fughe di credenziali aziendali", ha dichiarato Cristian Souza, Incident Response Specialist, Kaspersky Global Emergency Response Team. 

Kaspersky ha anche scoperto che gli aggressori hanno utilizzato lo script SessionGopher per individuare e ottenere le password salvate per le connessioni remote nei sistemi colpiti.  

Gli incidenti che coinvolgono vari tipi di tecniche basate su LockBit 3.0, senza le funzionalità di auto-propagazione e impersonificazione riscontrate in Guinea-Bissau, si verificano regolarmente in vari settori e aree geografiche. Sono stati rilevati in Russia, Cile e Italia e la mappa degli attacchi potrebbe espandersi ulteriormente. 

I prodotti Kaspersky hanno rilevato la minaccia con i seguenti risultati: 

•Trojan-Ransom.Win32.Lockbit.gen 

•Trojan.Multi.Crypmod.gen 

•Trojan-Ransom.Win32.Generic 

Lo script SessionGopher viene rilevato come: 

•HackTool.PowerShell.Agent.l 

•HackTool.PowerShell.Agent.ad 

LockBit è un gruppo di criminali informatici che offre ransomware as a service (RaaS). A febbraio 2024, un'operazione delle forze dell'ordine internazionali ha preso il controllo del gruppo. Pochi giorni dopo l'operazione, il gruppo di ransomware ha annunciato provocatoriamente di essere tornato in azione. 

Kaspersky consiglia le seguenti misure per mitigare gli attacchi ransomware:  

•Implementare un programma di backup frequente e condurre test regolari. 

•Se si è vittime di un ransomware e non esiste ancora un decriptatore noto, salvate i file criptati più importanti: una nuova soluzione di decriptazione potrebbe essere disponibile, ad esempio, nell'ambito di un'attività di ricerca sulle minacce in corso o se le autorità riescono a prendere il controllo dell’attore che si nasconde dietro la minaccia. 

•Di recente, le autorità hanno condotto un'operazione per abbattere il gruppo ransomware LockBit. Durante l'operazione, le forze dell'ordine hanno ottenuto chiavi di decodifica private e hanno preparato strumenti per decrittare i file sulla base di ID noti. Questi strumenti, come check_decryption_id.exe e check_decrypt.exe, aiutano a valutare se i file possono essere recuperati. 

•Implementare una soluzione di sicurezza efficace come Kaspersky Endpoint Security, assicurandosi che sia configurata correttamente. Considerate i servizi (Managed Detection and Response (MDR)) per la ricerca proattiva delle minacce. 

•Ridurre la superficie di attacco disabilitando i servizi e le porte inutilizzati. 

•Mantenere sistemi e software aggiornati per applicare tempestivamente le patch alle vulnerabilità. 

•Eseguire regolarmente test di penetrazione e scansioni di vulnerabilità per individuare i punti deboli e implementare le contromisure appropriate. 

•Fornire regolarmente ai dipendenti una formazione sulla cybersecurity per aumentare la consapevolezza delle minacce informatiche e delle strategie di mitigazione. 

Informazioni su Kaspersky  

Kaspersky è un’azienda globale di sicurezza informatica e digital privacy fondata nel 1997. Le profonde competenze in materia di Threat Intelligence e sicurezza si trasformano costantemente in soluzioni e servizi innovativi per proteggere aziende, infrastrutture critiche, governi e utenti in tutto il mondo. Il portfolio completo di sicurezza dell’azienda comprende una protezione leader degli endpoint e diverse soluzioni e servizi di sicurezza specializzati e soluzioni Cyber Immune, per combattere le sofisticate minacce digitali in continua evoluzione. Oltre 400 milioni di utenti sono protetti dalle tecnologie Kaspersky e aiutiamo 220.000 aziende a tenere al sicuro ciò che più conta per loro. Per ulteriori informazioni è possibile consultare https://www.kaspersky.it/  

Seguici su:  

https://twitter.com/KasperskyLabIT  

http://www.facebook.com/kasperskylabitalia  

https://www.linkedin.com/company/kaspersky-lab-italia  

https://www.instagram.com/kasperskylabitalia/  

https://t.me/KasperskyItalia  

Contatto di redazione: 

Noesis Kaspersky Italia 

kaspersky@noesis.net