LockBit fa parte di una sotto classe della famiglia dei ransomware nota come “virus crittografico“. Normalmente un ransomware cripta i dati della vittima, chiedendo un riscatto per poterli riavere; LockBit oltre ad eseguire la classica procedura di richiesta di riscatto, minaccia la vittima di diffondere i dati in chiaro su internet, nel caso in cui non venga pagato il riscatto richiesto.

Questa peculiarità rende questo malware molto pericoloso, soprattutto perché prende di mira obiettivi ben precisi: imprese o organizzazioni amministrative. Notevoli obiettivi passati includono organizzazioni negli Stati Uniti, Cina, India, Indonesia, Ucraina. Inoltre, vari paesi in tutta Europa (Francia, Regno Unito, Germania).

Sembra infatti che questo controllo venga effettuato in modo automatizzato, evitando intenzionalmente di attaccare determinati sistemi. LockBit funziona come ransomware-as-a-service (RaaS), questo significa che chiunque può noleggiarne l’utilizzo versando un deposito e i profitti vengono divisi tra gli sviluppatori e chi prende in prestito il malware. Questo modalità fa si che chiunque, anche senza particolari conoscenze tecniche, può entrare in questa sorta di circuito di affiliazione e noleggiando questo “servizio”, può trarne profitto.

Di fatto LockBit risulta essere un ransomware altamente automatizzato, una volta entrato all’interno della rete vittima, gli bastano appena 5 minuti  per attivare le routine di crittografia sui sistemi di destinazione, bypassando le protezioni standard di Windows, infettando e bloccando un sistema dopo l’altro.

LockBit: anatomia del ransomware

LockBit è un malware organizzato in modo distribuito: una parte risiede all’interno della macchina vittima ed un altra parte distribuito su dei server remoti (Server C&C, command and control). Il vettore d’attacco iniziale è composto da una serie di script in PowerShell, il primo viene utilizzato per effettuare il download del secondo script.

La modalità utilizzata è alquanto particolare: il secondo script è contenuto all’interno di una cella di un file di Google Sheets, nella posizione B1 del foglio di calcolo. Il malware legge il contenuto e lo trascrive all’interno di un file .ps che diventa il secondo script PowerShell (il tutto è codificato in Base64).

Il secondo script, utilizza un oggetto System.Net.ServicePointManager, che serve a fornire la gestione per le connessioni HTTP, difatti viene utilizzato per collegarsi ad un server (http://142.91.170.6/) per scaricare un altro script PowerShell contenente un sistema di BackDoor e la parte di malware che si collega al server C&C.

La BackDoor utilizza Empire, un framework che offre comunicazioni crittografate e una serie di strumenti utilizzati per eludere il rilevamento da parte di dispositivi IPS e IDS,  Intrusion Detection System (IDS) o Intrusion Prevention System (IPS) che controllano ed analizzano tutte le attività di rete, al fine di scovare un traffico dati insolito.

Una volta stabilita la connessione con il server C&C che scarica i file necessari per la BackDoor, schedula dei processi per garantirsi la resilienza sul sistema vittima e lancia un VBscript che esegue la BackDoor.

Gli altri moduli che vengono scaricati sono scritti in C#: uno prende di mira il sistema antimalware di Microsoft (AMSI), un altro verifica che il sistema sia autentico e non un virtualizzato per l’analisi dei malware, verifica successivamente anche il registro locale di Windows cercando particolari parole chiavi che gli permettano di capire se si tratta di un sistema contenente dati di valore, quali ad esempio dati fiscali o bancari e se trova quello che stava cercando procede con l’operazione di ramsonware altrimenti passa ad un altro sistema, cercando sulla rete locale.

Per diffondersi LockBit esegue delle richieste ARP per trovare altri host attivi sulla rete e una volta scovati tenta di connettersi ad essi tramite SMB (Protocollo utilizzato sulle reti Microsoft per la condivisione di file e cartelle).

LockBit: ransomware sempre più sofisticato, evoluzione

Quello che rende LockBit un ransomware sempre più sofisticato non è solo dovuto alla sua evoluzione, ma da come gli autori abbiano lavorato sul codice per ottimizzarlo e renderlo più performante.

Sono state rilevate tre differenti versioni del ransomware:

• Variante 1, estensione abcd, versione iniziale che rinominava i file con l’estensione .abcd ed inseriva la richiesta di riscatto all’interno di un file di testo che copia su ogni directory.
• Variante 2, estensione LockBit, l’estensione dei file veniva modificata in .LockBit, dandogli l’attuale soprannome.
• Variante 3, LockBit versione 2, è con questa versione che vediamo il malware nella sua forma attuale.

Per rendere il ransomware sempre più sofisticato, gli sviluppatori hanno scritto dei moduli in C++ con alcune aggiunte fatte usando Assembler. Il binario fa uso di istruzioni SSE di Intel e delle funzionalità specifiche per aumentare le sue prestazioni. Uno dei concetti più avanzati applicati in LockBit è l’uso di Input / Output Completion Ports ( IOCP ).

Gli IOCP sono un modello per la gestione avanzata del multi-thread, cioè consentono ai processi di eseguire simultaneamente più operazioni di I/O (input/output), rendendo molto più veloce la fase di crittografia dei dati.

In un rapporto congiunto dei ricercatori di McAfee Labs e della società di sicurezza informatica Northwave , che ha gestito la risposta all’incidente, si è appurato che LockBit è riuscito a crittografare un intera rete aziendale in tre ore crittografando circa 25 server e 225 workstation.

Come proteggersi?

Vediamo di seguito alcune pratiche contromisure da prendere per garantire una adeguata sicurezza:

• Implementare password complesse, molte violazioni si verificano a causa della debolezza delle password.
• Attivare l’autenticazione a due fattori, scoraggia gli attacchi a forza bruta e aggiunge un livello di sicurezza maggiore.
• Verificare le autorizzazioni dell’account utente, limitando il più possibile ed allo stretto indispensabile le autorizzazioni, soprattutto su quelle postazioni che sono più esposte.
• Eliminare gli account utente obsoleti e non utilizzati, rappresentano dei punti deboli inutili da lasciare.
• Verificare che le configurazioni di sistema seguano tutte le procedure di sicurezza, valutando periodicamente le procedure operative standard in riferimento alle nuove minacce.
• Avere sempre dei backup aggiornati, soprattutto in determinati incidenti, il backup risulta essere la nostra unica ancora di salvezza.
• Dotare i sistemi di soluzioni antivirus complete e commisurate al sistema da proteggere.

Articolo scritto da Walter Palumbo