Cybersicurezza
LockBit, il ransomware che sfrutta credenziali rubate e si autopropaga
L’analisi dell’attacco ransomware di LockBit evidenzia la continua evoluzione delle minacce informatiche e l’importanza di adottare misure proattive per proteggere le aziende da tali attacchi. L’implementazione di soluzioni di difesa avanzate mitiga i rischi e protegge le infrastrutture critiche dalle minacce informatiche sempre più sofisticate
LockBit, un ransomware che ha fatto la sua comparsa nel 2022, continua a rappresentare una minaccia significativa per le aziende di tutto il mondo. Recentemente, il team di esperti di Kaspersky Global Emergency Response ha indagato su un attacco che ha evidenziato una variante sofisticata del malware, dotata di funzionalità di auto-propagazione e impersonificazione.
Impersonificazione, auto-diffusione e funzionalità adattive
L’attacco ha sfruttato credenziali di accesso rubate per impersonare gli amministratori di sistema, permettendo agli aggressori di infiltrarsi nelle infrastrutture aziendali con privilegi estesi. Questa tattica rappresenta una grave minaccia, poiché gli account con privilegi offrono un ampio margine di manovra per eseguire attacchi e accedere alle aree più sensibili del sistema.
La variante del ransomware LockBit è in grado di diffondersi autonomamente all’interno della rete infettata, creando un effetto a valanga incontrollato. Gli host compromessi cercano attivamente di propagare il malware, compromettendo ulteriormente la sicurezza della rete e aumentando l’estensione dei danni.
Un aspetto particolarmente preoccupante di questa variante di LockBit è la sua capacità di adattarsi alle specifiche dell’architettura aziendale della vittima. Gli aggressori possono configurare il ransomware per selezionare i file da criptare e i sistemi da infettare, rendendo gli attacchi più mirati e devastanti.
Durante l’analisi condotta in una virtual machine, Kaspersky ha osservato il comportamento dannoso del ransomware, che include la disabilitazione di Windows Defender, la crittografia delle condivisioni di rete e la cancellazione dei registri eventi di Windows per nascondere le proprie attività.
Analisi dell’attacco del ransomware LockBit e consigli di Kaspersky
Oltre alle tecniche di impersonificazione e auto-propagazione, Kaspersky ha individuato l’utilizzo dello script SessionGopher da parte degli aggressori per ottenere le password salvate per le connessioni remote. Questo strumento aggiuntivo dimostra la complessità e la sofisticatezza dell’attacco orchestrato da gruppi criminali.
Gli attacchi basati su LockBit 3.0, senza le funzionalità avanzate di auto-propagazione e impersonificazione, sono stati riscontrati in varie parti del mondo, inclusi Russia, Cile e Italia. Tuttavia, la nuova variante osservata in Guinea-Bissau evidenzia un’evoluzione significativa delle capacità del ransomware.
Kaspersky raccomanda una serie di misure per mitigare gli attacchi ransomware, tra cui l’implementazione di programmi di backup regolari, l’utilizzo di soluzioni di sicurezza efficaci come Kaspersky Endpoint Security e la formazione dei dipendenti sulla cybersecurity.
