Attacchi informatici in crescita, aziende ferme e interi settori colpiti: è questa la prima evidenza emersa dall’analisi di Cynet, azienda israeliana specializzata nel rilevamento e nella gestione delle minacce avanzate nell’ambito della sicurezza informatica, che ha tracciato l’attività criminale messa in atto da LockBit, il threat actor attualmente più pericoloso dai tempi di Conti.
Tra i settori più colpiti sanità eD energia, soprattutto – sostiene Cynet – a causa dell’adozione da parte delle aziende italiane di sistemi di difesa rigidi, statici e non aggiornati.
Lockbit si presenta come un’organizzazione ben strutturata che vanta strumenti di attacco efficaci e numerosi affiliati. Detto in altri termini, il gruppo criminale è in grado di attrarre risorse che possano operare per loro in cambio di ingenti guadagni.
Inoltre – prosegue l’analisi di Cynet –, ha introdotto nuovi tipi di riscatto tra cui per esempio pagare per non fare uscire la notizia e ha avviato un referral program (ovvero una ricompensa) per chi segnala errori nel loro software o nelle loro botnet.
A ciò si aggiunge che accettano pagamenti con Zcash – che vengono pubblicati su una blockchain pubblica ma il mittente, il ricevente e il valore della transazione possono rimanere privati – e permettono di scaricare i file sottratti usando dei Torrent, un protocollo peer-to-peer che consente la distribuzione e la condivisione di file su Internet.
Cynet spiega come agisce Lockbit
Sullo sfondo di questo scenario, secondo l’analisi di Cynet, lo schema di attacco tipico di questa cyber gang segue una direttiva ben precisa: è rivolto soprattutto ad aziende italiane e il punto di accesso è, nella quasi totalità dei casi analizzati, una credenziale VPN valida acquistabile nelle principali collection sul Darkweb dove ne sono presenti decine di migliaia diverse.
Una volta ottenuto l’accesso, l’attacco segue 7 fasi: ottenimento della persistenza; evasione dalla rilevazione degli antivirus disattivando gli stessi; privilege escalation, ovvero sfruttamento di una falla; discovery della rete, dei sistemi, dell’applicazione e del server centralizzato; movimenti laterali con l’utilizzo di strumenti di desktop remoti già installati per non essere rilevati; esfiltrazione dei dati e, infine, applicazione del ransomware.
“Il risultato di un attacco condotto secondo questo schema è estremamente pericoloso: gran parte delle azioni malevole possono essere rilevate solo con strumenti di analisi comportamentale basati su intelligenza artificiale che la maggior parte delle aziende non possiede.
Inoltre, se l’attaccante riesce a compromettere anche il backup, si crea una combinazione estremamente pericolosa in grado di mettere a repentaglio la sopravvivenza stessa dell’azienda costretta a pagare il riscatto”, afferma Marco Lucchina, Channel Manager Italy, Spain & Portugal di Cynet.
I passaggi effettuati da Lockbit – conclude Cynet – vengono definiti invisibili, in quanto rientrano in azioni non necessariamente malevole, difficilmente distinguibili da dei normali passaggi amministrativi e, di conseguenza, non rilevabili. Questo fa di LockBit uno dei più pericolosi gruppi criminali ad oggi in circolazione.
