PMI in primo piano: Sophos presenta il suo ultimo studio sul ransomware LockBit. Spiccano due tecniche: in primo luogo, l'utilizzo di strumenti automatizzati per infettare determinati software fiscali e contabili su reti compromesse con ransomware e, in secondo luogo, la ridenominazione dei file PowerShell per camuffarsi.
"Gli aggressori LockBit utilizzano strumenti di attacco automatizzati per identificare obiettivi promettenti", riassume Sean Gallagher, ricercatore senior sulle minacce presso Sophos. L'analisi rivela come i criminali utilizzino gli strumenti di PowerShell per cercare applicazioni aziendali specifiche su reti compromesse, inclusi software fiscali e contabili. Se un'impronta digitale generata da questa ricerca corrisponde ai criteri della parola chiave, gli strumenti eseguono automaticamente una serie di attività, incluso il lancio dell'attacco LockBit.
Identificati nuovi metodi di attacco
I ricercatori sono stati anche in grado di identificare una serie di nuovi vettori di attacco che consentono a LockBit di eludere il rilevamento. Ciò include la ridenominazione dei file di PowerShell e l'utilizzo di un documento Google remoto per la comunicazione di comando e controllo. A causa della natura altamente automatizzata degli attacchi, una volta lanciato, il ransomware può diffondersi nella rete entro cinque minuti, cancellando contemporaneamente i suoi registri delle attività.
Gli aggressori LockBit prendono di mira specificamente le aziende più piccole come vittime
"L'interesse di LockBit per specifiche applicazioni aziendali e parole chiave indica che gli aggressori volevano chiaramente identificare i sistemi preziosi per le piccole imprese - sistemi che memorizzano dati finanziari e gestiscono operazioni quotidiane - al fine di esercitare pressioni massicce sulle vittime affinché paghino", ha affermato Gallagher . "Abbiamo visto ransomware bloccare le applicazioni aziendali durante l'esecuzione, ma questa è la prima volta che gli aggressori cercano tipi specifici di applicazioni con un approccio automatizzato per identificare potenziali bersagli".
Il gruppo ransomware LockBit segue fazioni ransomware come Ryuk
“La banda LockBit sembra seguire altri gruppi di cyber gangster, incluso Ryuk. Sophos ha recentemente scoperto questo gruppo utilizzando Cobalt Strike. Si tratta di strumenti adattati sviluppati per i test di penetrazione per automatizzare e accelerare gli attacchi. In questo caso, gli script di PowerShell aiutano gli aggressori a identificare i sistemi che ospitano applicazioni con dati particolarmente preziosi. In questo modo non vogliono perdere tempo con vittime che hanno meno probabilità di pagare".
Uso improprio di strumenti legittimi e modifica della protezione anti-malware
Gli aggressori di LockBit cercano di nascondere le proprie attività facendole sembrare normali attività amministrative automatizzate e utilizzando strumenti legittimi: ad esempio, i criminali creano copie mascherate dei componenti di scripting di Windows e quindi utilizzano l'Utilità di pianificazione di Windows per avviarli. Inoltre, modificano la protezione anti-malware integrata in modo che non possa più funzionare.
“L'unico modo per difendersi da questi tipi di attacchi ransomware è attraverso una difesa a più livelli con un'implementazione coerente della protezione anti-malware su tutti i sistemi. Se i servizi vengono lasciati non protetti o configurati in modo errato, gli aggressori possono facilmente sfruttarli", conclude Gallagher.
Ulteriori informazioni su Sophos.com
A proposito di Sophos Sophos gode della fiducia di oltre 100 milioni di utenti in 150 paesi. Offriamo la migliore protezione contro le minacce informatiche complesse e la perdita di dati. Le nostre soluzioni di sicurezza complete sono facili da implementare, utilizzare e gestire. Offrono il costo totale di proprietà più basso del settore. Sophos offre soluzioni di crittografia pluripremiate, soluzioni di sicurezza per endpoint, reti, dispositivi mobili, e-mail e web. C'è anche il supporto dei SophosLabs, la nostra rete globale di centri di analisi proprietari. Le sedi di Sophos sono a Boston, USA e Oxford, UK.