LockBit: il ransomware più diffuso nelle Aziende

Gli attacchi informatici in Italia sono in continuo aumento e innumerevoli sono i Ransomware pensati e utilizzati nei confronti delle aziende. Uno di questi, molto diffuso, è il LockBit.

LockBit è un Ransomware progettato per bloccare l’accesso degli utenti ai sistemi informatici aziendali in cambio del versamento di una somma di denaro.

È un RaaS, ovvero un Ransomware-as-a-Service, un modello basato su affiliazione e impiega un’ampia varietà di tattiche, tecniche e procedure (TTP), creando sfide significative per la difesa e la mitigazione da parte delle aziende. LockBit nasce originariamente come un cryptovirus in quanto il suo compito è quello di prendere il possesso dei dati sensibili e restituirli solo dopo il riscatto di una ingente somma di denaro.

Le vittime scelte sono aziende di grandi dimensioni che, per evitare di perdere dati preziosi per il business e conseguenti fermi di servizio di tutta l’Azienda, spesso si ritrovano a dover risolvere nel più breve tempo possibile pagando il riscatto.
Il “sindacato” LockBit è composto da un numero di affiliati che oscilla solitamente fra le 25 e le 30 unità, fatte da specialisti di settore, con una media di 70/80 vittime per affiliato.

Da quello che sappiamo, LockBit si muove seguendo delle fasi ben stabilite: nella prima fase, il Ramsomware scandaglia la rete alla ricerca dei punti deboli, ricorrendo al social engineering, come il noto phishing. In questo caso, l’autore dell’attacco si finge personale fidato e richiede le credenziali di accesso al sistema. Un’altra modalità è tramite l’invio di posta elettronica, in cui attraverso il download contenuto nel testo della mail, il virus entra nei server dell’Azienda e quindi nei sistemi di rete.
Da questo punto in poi, LockBit inizia ad operare in maniera autonoma; il Ransomware prepara le azioni necessarie per criptare le password, disabilitando tutti i programmi di sicurezza dell’utente.
Dopodichè si passa alla fase di criptaggio, nel quale vengono bloccati tutti i file di sistema, permettendo il raggiungimento di tutti i computer possibili.

Da qui vengono rilasciati dei file di testo con la richiesta di riscatto, molto spesso scritte in maniera intimidatoria.

 

Noi di VM Sistemi ci occupiamo quotidianamente di questi temi e riteniamo che nessun ambiente informatico sia invulnerabile e che, all’aumentare della complessità di tali ambienti, che oggi tendono a diventare sempre più articolati ed eterogenei e dai confini spesso intangibili, cresca sempre più la difficoltà di renderli sicuri e diventa necessario introdurre un piano di sicurezza mirato e metodologie di governo adeguatamente progettate e oculatamente pianificate, in grado di evitare perdite (data loss) o fughe (data leak) di dati e di saper intercettare, arginare e mitigare gli incidenti di sicurezza delle Aziende

Sono molti i fattori da prendere in considerazione per fare questo: le policy aziendali, la disponibilità di budget, l’adeguata formazione e preparazione del personale, la tecnologia e, non meno importante, la consapevolezza delle ingenti multe alle quali l’azienda può incorrere nel caso di strumenti non compliance a livello di GDPR. Ad ognuno di questi fattori sono associati costi economici e immateriali che devono essere rapportati al peso del dato da proteggere, rispetto al valore generato per il proprio business, prima della loro attuazione.

 

APPROFONDISCI E SCOPRI LE NOSTRE SOLUZIONI ICT SECURITY

IoT & Industrial Security
VA (Vulnerability Assessment)
SIEM
Patch Manager
End Point Security
Email Security
Web Application Firewall
Security Awareness
Access Management
Network Security

Angela Predico
VM Sistemi – Marketing Specialist

 

 

 

Fonti: www.redhotcyber.com – www.cybersecurity360.it

Related Posts