LockBit 2.0

Il Richiamo dell’Oscurità

Una saga di cyber minacce si abbatte sul panorama aziendale italiano, lasciando un sentore di terrore e sconcerto.

Nomi come ULLS6, Datalit, ALPA, MECFOND, SG Service Sud, MCS Morandi, Ponte Marmi, Vainieri, Pietro Isnardi, Firbarcarolo, Venegoni, ERG e Acquazzurra si sono uniti alla lista dei feriti in questa guerra digitale.

Fin dal lontano agosto del 2021, la temibile presenza del ransomware LockBit 2.0 si è fatta sentire, portando con sé le caratteristiche distintive della famigerata LockBit Gang, una cricca di criminali informatici determinati a seminare il caos.

Questo malware, con evidenti somiglianze ai temibili Egregor e Ryuk, creati dalla spietata cybergang conosciuta come Wizard Spider, ha gettato il suo sinistro dominio sulla scena.

LockBit 2.0 si è evoluto per diventare un’arma letale nel mondo della crittografia automatica dei dispositivi, adottando la spietata strategia della doppia estorsione. Si muove seguendo un modello di business chiamato R-a-a-S (Ransomware-as-a-Service), un’oscura trama tessuta nell’ombra del cyberspazio in cui gli affiliati pagano per lanciare attacchi utilizzando il suddetto modello.

La sua crittografia, basata su un sistema multithreading, prende di mira solo 4 KB di dati per file, segnandoli con l’estensione .lockbit, un marchio indelebile del suo potere distruttivo.

Quando LockBit 2.0 infiltra le sue spire nel sistema della sua preda, sfrutta un sofisticato scanner per individuare il cuore pulsante della rete: il domain controller.

Inizia la sua danza mortale, eliminando processi e servizi attraverso file batch come .bat o .cmd e strumenti spietati come PC Hunter e Mimikatz. Successivamente, i file batch o .cmd vengono impiegati sulla macchina infetta per abilitare le connessioni Remote Desktop Protocol (RDP).

Dopo aver conquistato il controllo del DC, LockBit 2.0 crea nuove politiche di gruppo e di sicurezza, che vengono diffuse a tutti i dispositivi nella rete. Queste policy hanno un solo obiettivo: disabilitare i sistemi di controllo, come gli antivirus per poi diffondere il ransomware nelle macchine Windows, un’epidemia digitale inarrestabile.

Al termine del processo di cifratura, come un messaggero dell’oscurità, LockBit 2.0 pianta un file .txt in ogni directory, un avvertimento sinistro che rivela che i dati sono stati imprigionati nella sua morsa mortale.

C’è di più: se il riscatto richiesto non viene pagato, i dati saranno svelati al mondo, pubblicamente condivisi sul sito esclusivo della LockBit Gang.

Una condanna che nessuna organizzazione può permettersi di affrontare.

LockBit 2.0 non si accontenta di giocare con le emozioni della sua vittima.

Per attirare l’attenzione e spronare alla resa, si serve delle API di Winspool per inviare un messaggio di estorsione a tutte le stampanti di rete, un grido di sfida impresso su ogni pagina stampata.
Per colpire duro nel cuore delle sue vittime, cambia lo sfondo dei PC con un’immagine esplicativa, un avvertimento visivo che incita al pagamento del riscatto.

In questa lotta contro le tenebre digitali, le aziende italiane si trovano di fronte a una scelta difficile.

Combattere con tutte le loro forze per proteggere ciò che è loro o cedere al richiamo dell’oscurità.

La battaglia è appena iniziata e solo il tempo dirà quale destino attende coloro che osano sfidare LockBit 2.0, l’incarnazione stessa della minaccia digitale.