Apr 16, 2024 Approfondimenti, Attacchi, Malware, News, RSS
LockBit continua a colpire le organizzazioni di tutto il mondo, evolvendosi rapidamente. In seguito a un recente incidente, il team Kaspersky Global Emergency Response ha individuato una variante del ransomware che ha dimostrato funzionalità di auto-propagazione.
La variante ha utilizzato feature finora inedite che, in caso di successo, possono creare un “effetto valanga” incontrollato capace di diffondere il malware nella rete aziendale. La nuova versione del ransomware riesce a diffondersi autonomamente attraverso la rete usando credenziali con privilegi elevati ed è in grado di disabilitare Windows Defender, la crittografia delle condivisioni di rete e cancellare Windows Event Logs per nascondere la propria attività.
Il nuovo LockBit ha inoltre presentato alcune funzionalità adattive che gli permettono di adattarsi alle configurazioni specifiche dell’architettura aziendale della vittima, per esempio infettando solo determinati tipi di file o un certo gruppo di sistemi. Kaspersky ha anche scoperto che gli attaccanti hanno usato lo script SessionGopher per individuare e rubare le password salvate per le connessioni remote nei sistemi compromessi.
“Il builder LockBit 3.0 è apparso nel 2022, ma gli aggressori lo utilizzano ancora attivamente per creare versioni personalizzate e non richiede competenze di programmazione avanzate. Questa flessibilità consente agli avversari di migliorare l’efficacia dei propri attacchi, come dimostra il recente caso. Inoltre, rende questo tipo di attacchi ancora più pericolosi, considerando l’aumento della frequenza delle fughe di credenziali aziendali” ha dichiarato Cristian Souza, Incident Response Specialist, Kaspersky Global Emergency Response Team.
L’attacco in questione ha colpito un’organizzazione dell’Africa occidentale, in Guinea-Bissau, ma gli incidenti di sicurezza che coinvolgono LockBit, anche senza le ultime funzionalità, si verificano regolarmente in vari settori e aree geografiche.
Per proteggersi dagli attacchi ransomware e mitigare le conseguenze Kaspersky consiglia di implementare un programma di backup regolari e implementare soluzioni di sicurezza efficaci per la protezione degli endpoint e la ricerca proattiva delle minacce. Le organizzazioni dovrebbero inoltre disabilitare servizi e porte inutilizzati e mantenere i software sempre aggiornati.