I ricercatori di sicurezza avvertono che una nuova ondata di varianti del ransomware LockBit si sta diffondendo online. Il motivo di questa esplosione di casi sembra essere strettamente collegata a una fuga di dati del codice sorgente utilizzato dal suddetto gruppo lo scorso anno.
Emersa per la prima volta nel 2020, LockBit opera secondo un modello ransomware-as-a-service in cui gli affiliati utilizzano agenti malevoli già sviluppati per eseguire attacchi. A suo tempo, LockBit è stato regolarmente uno dei gruppi più prolifici del settore, proponendo più di un grattacapo agli esperti di sicurezza.
L’ultima versione del ransomware, LockBit 3.0 (noto anche come LockBit Black), è stata lanciata nel giugno 2022 con premesse a dir poco preoccupanti. Ma, per ironia della sorte, il codice sorgente del rilascio è stato rubato e condiviso online lo scorso settembre.
LockBit: i cybercriminali beffati da alcuni “colleghi”
Secondo un rapporto di AO Kaspersky Lab, il codice rubato viene ora utilizzato da altri gruppi di ransomware per creare le proprie versioni personalizzate dello stesso “Subito dopo la fuga di notizie del builder, durante una risposta all’incidente da parte del nostro team GERT, siamo riusciti a trovare un’intrusione che sfruttava la crittografia dei sistemi critici con una variante del ransomware LockBit 3“. Gli stessi ricercatori hanno poi affermato come “Il nostro sistema di protezione ha confermato e rilevato la minaccia come Trojan.Win32.Inject.aokvy”.
La variante è stata confermata come LockBit, con alcune caratteristiche in comune e altre che si differenziano dall’agente malevolo originario. Il gruppo dietro la variante si è identificato come un collettivo precedentemente sconosciuto con il nome di National Hazard Agency, oltre ad aver indicato un riscatto specifico e dettagli di contatto.
Per valutare quanto siano diffuse le varianti non ufficiali del ransomware, i ricercatori hanno analizzato 396 campioni di infezioni recenti attribuite a LockBit e hanno scoperto che 77 dei 396 degli stessi non includevano alcun riferimento all’agente malevolo “originale” nella richiesta di riscatto “La richiesta di riscatto modificata senza riferimento a Lockbit o con un indirizzo di contatto diverso (e-mail/URL) rivela un probabile uso improprio del builder da parte di attori diversi dal Lockbit originale“, osservano i ricercatori.