00[1]

Il ransomware Lockbit si evolve: è il primo ad aver automatizzato la criptazione dei domini Windows sfruttando le policy di gruppo

mercoledì 28 luglio 2021
Il ransomware Lockbit si evolve: è il primo ad aver automatizzato la criptazione dei domini Windows sfruttando le policy di gruppo

Del ransomware Lockbit abbiamo già parlato qualche tempo fa perchè è stato ripetutamente in diffusione in Italia. In diffusione già dal Settembre 2019, ha subito varie evoluzioni ed è attualmente approdato alla forma organizzativa del ransomware as a service. Negli anni è stato piuttosto attivo, mentre i suoi gestori sono molto attenti sia alla promozione del servizio sia a fornire supporto.

Qualche mese fa però c'è stato un cambiamento: alcuni dei principali forum di hacking, solitamente utilizzati dai gruppi ransomware per promuoversi e per cercare nuovi affiliati, hanno iniziato a bannare e rimuovere gli annunci collegati ai RaaS. Sulla scia di quanto deciso dai gestori di Exploit (uno dei principali forum di hacking), la scelta è stata giustificata dal fatto che i gruppi ransomware, attaccando indiscriminatamente in tutto il mondo, "attraggono troppa attenzione". Dopo l'attacco ransomware al Colonial Pipeline, ma anche ospedali, scuole ed enti pubblici / governativi è difficile dare loro torto. Lockbit ha subito questo trattamento assieme a "colleghi" di altrettanta fama come REvil, Darkside, Netwalker ecc...

Dal momento del ban, il gruppo di Lockbit ha iniziato a promuovere il nuovo servizio RaaS LockBit 2.0 sfruttando direttamente il proprio sito di leak.

Il sito di leak di LockBit 2.0

Quali sono le novità?

LockBit 2.0 prevede una lunga serie di novità e numerose funzionalità avanzate. Molte di queste sono già state presenti in altre operazioni ransomware del passato, ma una di queste è molto preoccupante: gli sviluppatori hanno infatti affermato di aver automatizzato la distribuzione del ransomware sfruttando i domini Windows senza necessità di script.
Solitamente, quando gli attaccanti riescono ad accedere una rete e a prendere il controllo del controller di dominio, utilizzano un software di terze parti per distribuire script capaci di disabilitare le soluzioni antivirus: così viene disabilitato Windows Defender e quindi viene eseguito il ransomware sulle macchine in rete. La versione di LockBit analizzata recentemente da Vitali Kremez ha automatizzato completamente questo processo, così il ransomware può "auto-diffondersi" attraverso un dominio quando eseguito sul controller.

Una volta eseguito, LockBit crea nuove policy di gruppo sul controller di dominio: policy che sono poi distribuite e imposte a tutti i dispositivi nella rete. Queste non fanno altro che disabilitare la protezione in tempo reale di Windows Defender, gli alert, l'invio dei campioni a Microsoft e tutte le azioni di default quando sono individuati file dannosi.

Fonte: bleepingcomputer.com
Sono create anche ulteriori policy, compresa una per la creazione di attività pianificate sui dispositivi Windows per lanciare l'eseguibile del ransomware.

L'altra novità è l'uso di API di Windows Active Directory per eseguire query LDAP: questa tecnica è utilizzata per produrre una lista dei computer. Usando questa lista, l'eseguibile del ransomware verrà copiato nel desktop di ogni macchina, quindi l'attività pianificata configurata nella policy di gruppo si occuperà di lanciare il ransomware usando una precisa tecnica di bypass dell'User Account Control.

Se alcune tecniche e funzionalità di LockBit non sono affatto nuove, va sottolineato come questo sia il primo ransomware che è riuscito ad automatizzare la distribuzione del malware tramite policy di gruppo, garantendo la possibilità di disabilitare Windows Defender ed eseguire il ransomware sull'intera rete con un singolo comando.

Stampanti impazzite
Il nuovo LockBit ha anche una funzionalità già vista col ransomware Egregor: una volta che il ransomware ha finito di criptare i dispositivi in rete, inizierà a stampare a ripetizione la nota di riscatto su ogni stampante connessa in rete. Nel caso in cui una vittima non si sia ancora accorta dell'attacco subito...

00[1]

Quanto costa un data breach? Lo studio IBM calcola 3 milioni di euro di danni in Italia nel 2020

giovedì 29 luglio 2021
Quanto costa un data breach? Lo studio IBM calcola 3 milioni di euro di danni in Italia nel 2020

Lo studio "Cost of a Data Breach Report”, condotto dal Ponemon Institute e da IBM Security, parla chiaro: in media, i data breach costano alle aziende 4,24 milioni di dollari a incidente. L'aumento dei costi è legato all'impennata registrata nel numero di violazioni dei dati: il contesto pandemico ha fatto da volano, spinto dal ricorso massivo (e caotico) al lavoro da remoto nonché al rapido passaggio delle aziende al cloud per garantire la business continuity.

Cost of a Data Breach in Italia
Nel 2020 in Italia, si legge nel report, il costo complessivo di una violazione dei dati è salita non poco, arrivando a 3,03 milioni di Euro: ogni dato rubato è valutabile, in media, 135 euro. Basti pensare che tale valore è praticamente raddoppiato nell'ultimo decennio, a ribadire quanto i dati siano oggi un bene preziosissimo e quindi a rischio.

Per quanto i data breach siano ormai un problema che riguarda tutti i settori economici e produttivi, i settori più colpiti sono stati ovviamente quello dei servizi finanziari, il settore energetico e quello farmaceutico. In tali settori ogni informazione rubata costa rispettivamente 171 Euro per il settore finanziario, 165 per quello energetico e 164 per quello farmaceutico. I dati esplicitano anche un altro grave problema: la pandemia ha reso più palesi ed evidenti le difficoltà di quelle aziende poco digitalizzate o in estremo ritardo sulla digitalizzazione. Queste sono le più esposte ad attacchi informatici e ne subiscono maggiormente i danni: se le aziende ad avanzata digitalizzazione subiscono un costo medio per data breach di 2,72 milioni di euro, quelle poco digitalizzate e in ritardo invece pagano in media 3.75 milioni di euro a data breach.

Colpisce l'elevatissimo numero di giorni ad ora mediamente necessari per individuare e contenere un attacco informatico: siamo ancora sui 250 giorni circa, anche se si registra una lieve contrazione delle tempistiche rispetto agli ultimi anni.

Cost of a Data Breach nel mondo

A livello mondiale le dinamiche sono state simili: corsa al lavoro da remoto e al cloud, con il 60% delle imprese analizzate nello studio che ha scelto di passare al cloud. Al passaggio organizzativo a queste nuove forme di organizzazione aziendale non è però corrisposto un conseguente processo di adeguamento in termini di cyber security: il passaggio allo smart working è stato repentino e caotico ed ha causato data breach più costosi del valore medio. In dettaglio, afferma IBM, i data breach avvenuti indicando il lavoro da remoto come causa costano 1 milione di dollari in più della media delle violazioni avvenute tramite altri vettori di attacco, segnando un costo di 4,96 milioni di dollari contro i 3.89 milioni.
Le credenziali compromesse sono un gravissimo problema
Altro dato importante è che la causa principale dei data breach occorsi a livello mondiale è stato l'uso di credenziali rubate. Tra le informazioni invece più esposte troviamo i dati personali degli utenti come nome, email e password varie: tali dati sono presenti quasi nel 50% delle violazioni analizzate dal report. Gli effetti di tali breach si sentiranno nei prossimi mesi e anni, quando questi dati saranno usati per portare ulteriori e nuovi attacchi. Il problema delle credenziali compromesse è ormai dilagante e reso ancora più grave da una evidenza: oltre l'82% delle persone intervistate nel report ammette di riutilizzare le password per più account.

I breach che ricomprendono le informazioni personali sono quelli che costano di più ( 180 dollari a dato contro il 161 dollari di costo medio per il furto di altri tipi di dati), sono i più lunghi da rilevare e contenere e l'uso di credenziali compromesse resta il punto di ingresso più utilizzato dai cyber attaccanti.

Ci sono anche buone notizie: AI, criptazione, Zero-trust
I costi delle violazioni sono ormai a livello record, ma il report ha registrato anche alcuni dati positivi rispetto all'adozione di alcune tecnologie e approcci innovativi come l'Intelligenza Artificiale, l'approccio Zero Trust, l'automation, l'uso della criptazione ecc..

Per IBM AI, criptazione e security analytics sono i 3 principali fattori di mitigazione delle violazioni nonché fondamentali per la riduzione dei costi per singolo attacco. Le aziende che si sono dotate di questi strumenti hanno risparmiato quasi 1.5 milioni di dollari a data breach rispetto alle aziende che non hanno adottato queste soluzioni.

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy