Cos’è Lockbit 3.0?
Lockbit 3.0 è l’ultima evoluzione di un ransomware sviluppato da un’organizzazione cybercriminale altamente organizzata. Si distingue per:
- Modello Ransomware-as-a-Service (RaaS): chiunque può acquistarlo sul dark web e utilizzarlo per attaccare.
- Subdola propagazione: agisce lentamente, criptando i file in background senza che la vittima se ne accorga. Addirittura, il ransomware può lasciare accesso ai dati, “decriptando al volo” alcuni file per non destare sospetti. Questo permette al malware di completare l’operazione prima che l’attacco venga rilevato.
- Organizzazione strutturata: l’attacco è frutto di un lavoro suddiviso tra più “aree operative” criminali: chi studia la vittima, chi prepara il software e chi gestisce la trattativa finale.
I fatti e il contesto
Negli ultimi anni, gli attacchi ransomware sono cresciuti esponenzialmente, diventando una delle principali minacce per aziende e professionisti. Lockbit 3.0 rappresenta uno dei ransomware più pericolosi ed evoluti, grazie alla sua capacità di agire lentamente e in modo subdolo, criptando tutti i file senza lasciare tracce evidenti finché il danno non è completo.
Ma perché sembra così semplice reperirlo sul mercato del dark web?
Nel settembre 2022, il gruppo ransomware LockBit 3.0 ha subito un significativo data breach causato da un proprio programmatore insoddisfatto delle condizioni economiche offerte. Questo insider ha divulgato su GitHub il “builder” del ransomware, ossia il software utilizzato per creare le versioni malevole del malware.
Il builder trapelato comprende quattro componenti principali:
- Generatore di chiavi di crittografia: per creare chiavi uniche utilizzate nel processo di cifratura dei dati delle vittime.
- Builder vero e proprio: per assemblare il ransomware personalizzato.
- File di configurazione modificabile: consente di adattare il malware a specifici obiettivi o esigenze dell’attaccante.
- Script batch (“maker”): automatizza la creazione dei vari componenti del ransomware.
La disponibilità pubblica di questi strumenti ha contribuito ad acuire simili minacce: tale disponibilità consente a criminali informatici, anche con competenze limitate, di sviluppare e distribuire varianti personalizzate del ransomware LockBit 3.0. Questo ha portato ad a un aumento significativo degli attacchi ransomware, amplificando i rischi per aziende e individui.
Se siete interessati alle ripercussioni giuridiche di un attacco di questo tipo, potete consultare questo articolo del Ministero della Giustizia dal titolo “Cryptolocker ransomware (questo è reato!)”.
L’aumento di rischio è esponenziale
In risposta all’incidente, il gruppo LockBit ha dichiarato l’intenzione di reclutare nuovi sviluppatori per aggiornare e migliorare il proprio malware, cercando di mitigare l’impatto del leak ed affinare le proprie attività criminali.
Questo evento evidenzia la crescente complessità e professionalizzazione delle organizzazioni cybercriminali, nonché l’importanza cruciale di implementare misure di sicurezza informatica robuste per proteggersi da minacce sempre più sofisticate.
Dietro questo attacco c’è una vera e propria organizzazione criminale strutturata, che segue una strategia articolata: dall’individuazione della vittima tramite social engineering, alla diffusione del ransomware attraverso strumenti tecnici avanzati, fino alla gestione “commerciale” delle richieste di riscatto.
Come funziona Lockbit 3.0: un’operazione criminale coordinata
Fase 1: Identificazione della vittima
L’organizzazione dietro Lockbit 3.0 è strutturata come una vera e propria azienda. Una sezione dedicata all’ingegneria sociale individua e studia attentamente la vittima:
- Vengono analizzati i punti deboli della rete aziendale.
- Si raccolgono informazioni sui dipendenti tramite phishing mirato o open-source intelligence (OSINT).
Questa fase è cruciale per pianificare un attacco su misura e garantire che il ransomware venga installato senza difficoltà.
Fase 2: Installazione e propagazione
Un team tecnico sviluppa e configura il ransomware, predisponendolo per l’infiltrazione all’interno dei sistemi aziendali. Le modalità di diffusione includono:
- Email di phishing con allegati dannosi.
- Exploit di vulnerabilità nei software non aggiornati.
- Accesso remoto compromesso tramite credenziali rubate.
Lockbit 3.0 agisce con estrema lentezza e in modo invisibile:
- I file vengono cifrati gradualmente e gli antivirus non segnalano alcuna anomalia.
- Durante l’attacco, il ransomware “decripta al volo” alcuni dati, permettendo all’utente di accedere ai file per non destare sospetti.
Quando il danno è completo, la vittima si trova di fronte a un messaggio di riscatto, ma ormai è troppo tardi: i file sono compromessi e l’organizzazione criminale ha già raggiunto il suo obiettivo.
Fase 3: Gestione della trattativa
Una volta completata la cifratura, entra in gioco l’area commerciale dell’organizzazione criminale. Il riscatto viene richiesto tramite:
- Messaggi personalizzati in cui si spiega come effettuare il pagamento in criptovalute.
- Minacce di pubblicazione dei dati rubati (doppia estorsione), aumentando la pressione sulla vittima per accelerare la trattativa.
L’efficienza di questa struttura organizzata rende Lockbit 3.0 una minaccia devastante.
Perché le aziende devono preoccuparsi?
Subdola e invisibile
Lockbit 3.0 rappresenta uno dei ransomware più pericolosi ed evoluti attualmente disponibili sul mercato del dark web. Non è solo un software dannoso, ma una vera e propria piattaforma criminale che segue un modello Ransomware-as-a-Service (RaaS): chiunque con un po’ di competenza può acquistarlo, installarlo e colpire obiettivi con pochi click.
Il ransomware as-a-service è davvero ben progettato e non si risparmia neppure dal punto di vista della UX e UI: l’esperienza utente è curata tramite l’accesso ad un pannello di controllo intuitivo con cui si può iniziare a “personalizzare” l’attacco.
La struttura organizzativa dietro Lockbit 3.0: un’azienda criminale
Un attacco con Lockbit 3.0 non è improvvisato. È il risultato di un lavoro organizzato e professionale:
- Ingegneria sociale: Un team studia la vittima, raccogliendo dati utili e identificando vulnerabilità.
- Parte tecnica: Esperti configurano il ransomware e pianificano l’infiltrazione nei sistemi aziendali.
- Gestione commerciale: Dopo l’attacco, l’organizzazione avvia la trattativa con la vittima, stabilendo il riscatto e minacciando la pubblicazione dei dati.
Questa divisione dei ruoli rende gli attacchi più mirati ed efficaci, trasformando la criminalità informatica in una vera e propria “industria del riscatto”.
Come proteggersi da Lockbit 3.0
Misure chiave di prevenzione
- Monitoraggio avanzato: Implementare sistemi EDR (Endpoint Detection and Response) in grado di individuare comportamenti anomali.
- Backup regolari e isolati: Effettuare backup periodici e mantenerli offline per evitare che vengano cifrati.
- Aggiornamenti continui: Patching di software e sistemi per prevenire exploit di vulnerabilità note.
- Formazione del personale: Addestrare i dipendenti a riconoscere email sospette e tentativi di phishing.
- Autenticazione multi-fattore (MFA): Riduce il rischio di accessi non autorizzati.
Parliamoci chiaro: anche se non è consigliabile pagare il riscatto richiesto, una volta caduti nella trappola, non avendo implementato misure preventive, è difficile non cedere. Ci sentiamo quindi di consigliare innanzitutto un sistema e un piano di backup solido e strutturato.
Conclusione: una minaccia invisibile e organizzata
Lockbit 3.0 non è solo un ransomware: è il risultato di un’operazione criminale altamente strutturata. Il rischio per le aziende è enorme, non solo per i danni economici immediati, ma anche per le conseguenze a lungo termine sulla reputazione.
Prevenire è l’unica arma efficace. Implementare misure di sicurezza adeguate e sensibilizzare il personale sono passi fondamentali per proteggere la propria azienda da minacce sempre più subdole e sofisticate.
Proteggi la tua azienda prima che sia troppo tardi.
Contatta un esperto di cybersecurity per una valutazione completa dei tuoi sistemi di sicurezza.