Nei giorni scorsi i siti Web utilizzati dai criminali informatici per diffondere online i dati riservati rastrellati dal ransomware LockBit sui sistemi delle varie aziende via via aggredite erano stati presi di mira da un pesante attacco DDoS (Distributed Denial of Service).
L’attacco DDoS a LockBit ha a che fare con la decisione di pubblicare i file razziati a Entrust a giugno 2022.
I pacchetti HTTP inviati in rapidissima sequenza al fine di rendere irraggiungibili i siti Tor di BitLocker contenevano infatti l’esplicita esortazione a cancellare definitivamente i dati rubati senza renderli di pubblico dominio.
I criminali informatici che gestiscono le attività legate al ransomware BitLocker avevano confermato l’aggressione preannunciando però l’adozione di una serie di contromisure.
Così LockBitSupp (così si chiama il soggetto che divulga in rete comunicazioni ufficiali sull’evoluzione di LockBit) non soltanto ha confermato che le operazioni sono ricominciate e che i siti Tor sono adesso raggiungibili ma ha anche descritto per sommi capi l’infrastruttura aggiornata che permetterà da resistere a nuovi attacchi DoS.
Oltre alla pubblicazione dei dati razziati sulle macchine di Entrust (avvenuta il 27 agosto anziché il 19 agosto in seguito all’attacco DDoS; si tratta di oltre 340 GB), da LockBitSupp si aggiunge che le nuove aggressioni utilizzeranno tre tecniche: oltre alla cifratura dei dati sui sistemi delle vittime e alla successiva richiesta di un riscatto in denaro, alla pubblicazione degli stessi dati nel caso in cui non venisse versato alcun importo, LockBit comincerà a orchestrare attacchi DDoS per rendere impossibile lo svolgimento delle attività online da parte dei soggetti presi di mira.
La gang “dietro” LockBit spiega insomma che quanto accaduto ha offerto l’ispirazione per rendere gli attacchi ancora più pesanti e complessi da neutralizzare: anche se un’azienda utilizzasse efficace politica per il backup dei dati, quindi, essa resterebbe esposta alla minaccia di pubblicazione delle sue informazioni riservate e, d’ora in avanti, con la spada di Damocle dei possibili attacchi DDoS.
LockBit non solo ha reso più solida la sua infrastruttura ma ha previsto la generazione di un URL pseudocasuale per ciascun attacco e per ogni build del locker in modo da non porgere più il fianco ad eventuali ulteriori attacchi DDoS. Come accaduto nel caso di Entrust, inoltre, LockBit ha avviato la condivisione dei dati rubati sia via Torrent che servendosi di vari mirror accessibili sia attraverso il dark web che tramite clearnet (la rete pubblica ovvero la parte del Web liberamente raggiungibile senza ricorrere a Tor).