Gli autori del ransomware LockBit 2.0 provano a portare la battaglia a un livello ancora superiore. Abbiamo spiegato nei giorni scorsi quanto LockBit 2.0 possa continuamente cambiare pelle grazie alla struttura modulare e alla possibilità di adattare il funzionamento del malware agli obiettivi da aggredire.
La novità è che i soggetti che “manovrano i fili” di LockBit hanno iniziato a reclutare attivamente dipendenti e collaboratori di grandi gruppi aziendali per aiutarli a violare le reti e crittografare dati riservati e ad alto valore. A fronte di quest’attività criminosa gli autori del ransomware promettono pagamenti milionari.
LockBit opera come un vero e proprio “ransomware-as-a-service“: c’è un gruppo di sviluppatori che si occupa di sviluppare, aggiornare ed estendere le possibilità del ransomware vero e proprio oltre a gestire le piattaforme usate per riscuotere gli importi eventualmente versati dalle vittime e affiliati che individuano meccanismi per impiantre il ransomware sui sistemi delle aziende.
Qualsiasi pagamento effettuato dalle vittime viene poi diviso tra il gruppo principale e gli affiliati con questi ultimi che di solito ricevono il 70-80% dell’importo totale.
Anziché violare in proprio la rete dell’azienda, in molti casi gli affiliati acquistano le credenziali di accesso alle reti da parte di soggetti terzi che le hanno recuperate in proprio o rubate utilizzando vari stratagemmi.
Con LockBit 2.0 si sta cercando di ammaliare collaboratori sleali delle più grandi aziende per farsi rilasciare le credenziali di accesso. Come?
Quando un consulente IT che viene chiamato a rispondere a un attacco ransomware su una qualunque rete vedrà apparire il messaggio “All of your important file are stolen and encrypted“. Poco più sotto c’è però una sorta di inequivocabile “I want you!”: “Ti piacerebbe guadagnare milioni di dollari? Acquisiamo i dati di accesso alle reti di varie aziende così come informazioni che possono aiutarci a rubare i dati più preziosi di qualsiasi impresa. Puoi fornirci i dati contabili per l’accesso a qualsiasi azienda, per esempio, login e password per RDP, VPN, email aziendali,…“.
Seguono i dati di Tox messenger, sistema di messaggistica istantanea peer-to-peer con crittografia end-to-end, progettato per tutelare la privacy e l’anonimato delle parte ma ora ampiamente utilizzato anche dagli autori di ransomware.
Ad agosto 2020 l’FBI ha arrestato un cittadino russo per aver tentato di reclutare un dipendente Tesla al fine di introdurre malware nella rete interna della Gigafactory di Tesla in Nevada, importante fabbrica di batterie agli ioni di litio e di componenti per veicoli elettrici.
Come “ciliegina sulla torta” va detto che ad oggi LockBit 2.0 è il ransomware più veloce in assoluto capace di crittografare i dati al ritmo di oltre 370 MB/s compatibilmente con le performance garantite dalle unità in uso (riesce a cifrare 100 GB di dati in meno di 5 minuti). Tutti i dati sulle sue “abilità” sono pubblicati in questo post su Twitter.