Lockbit 2.0 ransomware

Lockbit 2.0 ransomware Descrizione

Il LockBit Ransomware è emerso nel panorama dei malware nel settembre 2019, quando è stato offerto in uno schema RaaS (Ransomware-as-a-Service). Gli operatori della minaccia stavano cercando affiliati che eseguissero gli attacchi ransomware effettivi e poi dividessero i profitti: gli affiliati avrebbero incassato circa il 70-80% dei fondi mentre il resto sarebbe stato dato ai creatori di LockBit.

L'operazione è rimasta piuttosto attiva sin dal suo lancio, con i rappresentanti del gruppo dietro la minaccia che mantengono una presenza sui forum degli hacker. Quando diversi forum di spicco hanno deciso di prendere le distanze dagli schemi ransomware e hanno vietato le discussioni su tali argomenti, LockBit è passato a un sito di fuga di dati appena creato. Lì, i criminali informatici hanno svelato la prossima versione della loro minacciosa creazione: LockBit 2.0, che sarebbe stata offerta anche come RaaS. La versione 2.0 vanta capacità dannose notevolmente ampliate con gli hacker che incorporano più funzionalità che sono emerse in precedenza in altre famiglie di ransomware. Inoltre, la minaccia è dotata di una tecnica mai vista prima che le consente di abusare dei criteri di gruppo per crittografare automaticamente i domini di Windows.

LockBit 2.0 mostra nuove tecniche

LockBit 2.0 è ancora un ransomware e, in quanto tale, il suo scopo è infettare il maggior numero possibile di dispositivi collegati alla rete violata, prima di crittografare i dati archiviati e richiedere un riscatto. Tuttavia, invece di fare affidamento su strumenti open source di terze parti, che è la pratica standard in queste operazioni, LockBit 2.0 ha automatizzato la sua distribuzione e le misure anti-sicurezza. Al momento della sua esecuzione, la minaccia creerà diversi nuovi criteri di gruppo sul controller di dominio, che vengono successivamente consegnati a tutte le macchine connesse alla rete compromessa. Attraverso questi criteri, il malware è in grado di disabilitare la funzionalità di protezione reale di Microsoft Defender, nonché gli avvisi, le azioni predefinite e i campioni solitamente inviati a Microsoft al rilevamento di un intruso indesiderato. Stabilisce anche un'attività pianificata per avviare il suo eseguibile.

Il passaggio successivo dell'operazione prevede la copia del file eseguibile di LockBit 2.0 sul desktop di ciascun dispositivo rilevato. L'attività pianificata creata in precedenza la avvierà implementando un bypass UAC (User Account Control). Questo metodo consente a LockBit 2.0 di muoversi furtivamente attraverso la sua programmazione, senza attivare avvisi che potrebbero attirare l'attenzione dell'utente.

Al termine del processo di crittografia, LockBit 2.0 attiva una funzionalità precedentemente osservata come parte delle minacce Egregor Ransomware. Implica costringere tutte le stampanti connesse alla rete a vomitare all'infinito la richiesta di riscatto della minaccia.