• BitMAT
  • BitMATv
  • Top Trade
  • Linea EDP
  • Itis Magazine
  • Industry 5.0
  • Sanità Digitale
  • ReStart in Green
  • Contattaci
Close Menu
LineaEDPLineaEDP
    Facebook X (Twitter) Vimeo Instagram LinkedIn RSS
    Trending
    • Navigare in rete in modo sicuro: consigli pratici ed accorgimenti per non correre rischi
    • Attacchi informatici: Russia, UE e Asia nel mirino
    • Dynatrace e NVIDIA a supporto delle implementazioni di AI Factory
    • Sicurezza: AI sempre più sfidante
    • Oracle EU Sovereign Cloud conquista le organizzazioni tedesche
    • Progettare il futuro con Red Hat Enterprise Linux 10
    • AI e Partnership pilastri della strategia di SAP
    • Elisabetta Franchi: A Convention of Fashion and Imagination in Mold
    Facebook X (Twitter) Vimeo Instagram LinkedIn RSS
    LineaEDPLineaEDP
    • Cio
    • Cloud
    • Mercato
    • News
    • Tecnologia
    • Case History
    • Report
    • Sicurezza
    • IOT
    LineaEDPLineaEDP
    Sei qui:Home»Rubriche»Sicurezza»LockBit colpisce ancora. Kaspersky spiega come

    LockBit colpisce ancora. Kaspersky spiega come

    By Redazione LineaEDP17/04/20245 Mins Read
    Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email

    La nuova variante del ransomware di LockBit si finge un dipendente e si auto diffonde. Kasparsky condivide la sua analisi

    LockBit

    LockBit, builder leak apparso nel 2022, continua a essere una minaccia. In seguito a un recente incidente, il team Kaspersky Global Emergency Response sta facendo luce su un attacco in cui è stata creata una variante del malware di encryption con funzionalità di auto propagazione. Sfruttando le credenziali di accesso rubate come amministratore, i criminali informatici hanno violato le infrastrutture. L’incidente è avvenuto in Africa occidentale, ma anche in altre regioni si sono verificati attacchi ransomware builder-base, sebbene privi delle caratteristiche sofisticate che sono state osservate in questo caso.

    L’analisi di Kaspersky sul ransomware LockBit

    L’ultimo attacco si è verificato in Guinea-Bissau e ha rivelato che il ransomware LockBit modificato impiega tecniche inedite. Può creare un effetto valanga incontrollato, con host infetti che tentano di diffondere ulteriormente il malware all’interno della rete della vittima. Dopo il recente episodio, Kaspersky sta realizzando un’analisi dettagliata.

    Impersonificazione: sfruttando le credenziali acquisite in modo illecito, l’attore della minaccia si finge l’amministratore di sistema con privilegi. Questo scenario è molto critico, poiché gli account con privilegi offrono ampie possibilità di eseguire l’attacco e ottenere l’accesso alle aree più sensibili dell’infrastruttura aziendale.

    Auto-diffusione: il ransomware personalizzato può anche diffondersi autonomamente all’interno della rete utilizzando credenziali ad elevato livello di privilegi e condurre attività dannose, come la disabilitazione di Windows Defender, la crittografia delle condivisioni di rete e la cancellazione di Windows Event Logs per criptare i dati e nascondere le proprie attività.

    Il comportamento del malware si traduce nello scenario in cui ogni host violato cerca di infettare altri host all’interno della rete.

    Funzionalità adattive: i file di configurazione personalizzati, insieme alle funzionalità citate, consentono al malware di adattarsi alle configurazioni specifiche dell’architettura aziendale della vittima. Ad esempio, l’aggressore può impostare il ransomware di LockBit per infettare solo file specifici, come tutti i documenti .xlsx e .docx o solo un gruppo di sistemi specifici.

    Durante l’esecuzione di questa versione modificata in una virtual machine, Kaspersky ha osservato che il ransomware di LockBit esegue attività dannose e genera una richiesta di riscatto personalizzata sul desktop. In situazioni reali, questa richiesta include dettagli su come la vittima deve contattare gli aggressori per ottenere il decodificatore.

    LockBit

    I risultati della minaccia rilevati dagli esperti

    Kaspersky ha anche scoperto che gli aggressori hanno utilizzato lo script SessionGopher per individuare e ottenere le password salvate per le connessioni remote nei sistemi colpiti.

    Gli incidenti che coinvolgono vari tipi di tecniche basate su LockBit 3.0, senza le funzionalità di auto-propagazione e impersonificazione riscontrate in Guinea-Bissau, si verificano regolarmente in vari settori e aree geografiche. Sono stati rilevati in Russia, Cile e Italia e la mappa degli attacchi potrebbe espandersi ulteriormente.

    I prodotti Kaspersky hanno rilevato la minaccia con i seguenti risultati:

    • Trojan-Ransom.Win32.Lockbit.gen
    • Multi.Crypmod.gen
    • Trojan-Ransom.Win32.Generic

    Lo script SessionGopher viene rilevato come:

    • PowerShell.Agent.l
    • PowerShell.Agent.ad

    LockBit è un gruppo di criminali informatici che offre ransomware as a service (RaaS). A febbraio 2024, un’operazione delle forze dell’ordine internazionali ha preso il controllo del gruppo. Pochi giorni dopo l’operazione, il gruppo di ransomware ha annunciato provocatoriamente di essere tornato in azione.

    I consigli di Kaspersky per proteggersi dai ransomware come LockBit

    Kaspersky consiglia le seguenti misure per mitigare gli attacchi ransomware:

    • Implementare un programma di backup frequente e condurre test regolari.
      • Se si è vittime di un ransomware e non esiste ancora un decriptatore noto, salvate i file criptati più importanti: una nuova soluzione di decriptazione potrebbe essere disponibile, ad esempio, nell’ambito di un’attività di ricerca sulle minacce in corso o se le autorità riescono a prendere il controllo dell’attore che si nasconde dietro la minaccia.
      • Di recente, le autorità hanno condotto un’operazione per abbattere il gruppo ransomware LockBit. Durante l’operazione, le forze dell’ordine hanno ottenuto chiavi di decodifica private e hanno preparato strumenti per decrittare i file sulla base di ID noti. Questi strumenti, come check_decryption_id.exe e check_decrypt.exe, aiutano a valutare se i file possono essere recuperati.
      • Implementare una soluzione di sicurezza efficace come Kaspersky Endpoint Security, assicurandosi che sia configurata correttamente. Considerate i servizi (Managed Detection and Response (MDR)) per la ricerca proattiva delle minacce.
      • Ridurre la superficie di attacco disabilitando i servizi e le porte
      • Mantenere sistemi e software aggiornati per applicare tempestivamente le patch alle vulnerabilità.
      • Eseguire regolarmente test di penetrazione e scansioni di vulnerabilità per individuare i punti deboli e implementare le contromisure appropriate.
      • Fornire regolarmente ai dipendenti una formazione sulla cybersecurity per aumentare la consapevolezza delle minacce informatiche e delle strategie di mitigazione.

    Il parere dell’esperto

    “Il builder LockBit 3.0 è apparso nel 2022, ma gli aggressori lo utilizzano ancora attivamente per creare versioni personalizzate e non richiede competenze di programmazione avanzate. Questa flessibilità consente agli avversari di migliorare l’efficacia dei propri attacchi, come dimostra il recente caso. Inoltre, rende questo tipo di attacchi ancora più pericolosi, considerando l’aumento della frequenza delle fughe di credenziali aziendali”, ha dichiarato Cristian Souza, Incident Response Specialist, Kaspersky Global Emergency Response Team.

    cybersecurity Kaspersky LockBit lockbit 3.0 ransomware
    Share. Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email
    Redazione LineaEDP
    • Facebook
    • X (Twitter)

    LineaEDP è parte di BitMAT Edizioni, una casa editrice che ha sede a Milano con copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.

    Correlati

    Attacchi informatici: Russia, UE e Asia nel mirino

    21/05/2025

    Dynatrace e NVIDIA a supporto delle implementazioni di AI Factory

    21/05/2025

    Sicurezza: AI sempre più sfidante

    21/05/2025
    Newsletter

    Iscriviti alla Newsletter per ricevere gli aggiornamenti dai portali di BitMAT Edizioni.

    Security Words

    INFRASTRUTTURA APPLICATIVA: PROTEGGIAMOLA

    29/01/2024

    PASSWORD E STRATEGIA

    29/01/2024
    BitMATv – I video di BitMAT
    Transizione 5.0: vuoi il 45% sui software?
    Stormshield: Zero Trust pilastro della security aziendale
    RENTRI: regole pratiche per uscirne vivi
    Vertiv: come evolve il mondo dei data center
    2VS1 incontra GCI: focus sulle competenze
    Defence Tech

    Attacchi informatici: Russia, UE e Asia nel mirino

    21/05/2025

    Sicurezza: AI sempre più sfidante

    21/05/2025

    Computer ICS sempre sotto minaccia cyber: l’analisi di Kaspersky

    20/05/2025

    TA406: cybercrime contro le entità governative ucraine

    19/05/2025
    Report

    Aziende italiane e Intelligenza Artificiale: a che punto siamo?

    12/05/2025

    L’AI irrompe nel manufacturing

    02/05/2025

    L’AI è il futuro, ma senza dati rimane solo una promessa

    02/05/2025

    IBM X-Force Threat Index 2025: vecchi e nuovi trend delle minacce cyber

    18/04/2025
    Rete BitMAT
    • Bitmat
    • BitMATv
    • Top Trade
    • LineaEdp
    • ItisMagazine
    • Speciale Sicurezza
    • Industry 4.0
    • Sanità Digitale
    • Redazione
    • Contattaci
    NAVIGAZIONE
    • Cio
    • Cloud
    • Mercato
    • News
    • Tecnologia
    • Case History
    • Report
    • Sicurezza
    • IOT
    Chi Siamo
    Chi Siamo

    BitMAT Edizioni è una casa editrice che ha sede a Milano con una copertura a 360° per quanto riguarda la comunicazione online ed offline rivolta agli specialisti dell'lnformation & Communication Technology.

    Facebook X (Twitter) Instagram Vimeo LinkedIn RSS
    • Contattaci
    • Cookies Policy
    • Privacy Policy
    • Redazione
    © 2012 - 2025 BitMAT Edizioni - P.Iva 09091900960 - tutti i diritti riservati - Iscrizione al tribunale di Milano n° 293 del 28-11-2018 - Testata giornalistica iscritta al ROC

    Type above and press Enter to search. Press Esc to cancel.