LockBit 3.0: le caratteristiche del nuovo software utilizzato dalla gang ransomware

Quello che è avvenuto nell’ambito dell’attacco Westpole-PA digitale non ha precedenti nella storia della cybersicurezza della Pubblica Amministrazione italiana. L’offensiva di LockBit, compiuta andando a colpire il fornitore di un fornitore delle vittime in pratica, ha avuto un impatto concreto su numerosi servizi (come abbiamo già approfondito nel primo pezzo di questa giornata). Sono stati coinvolti, a cascata, numerosi servizi per il lavoro interno della PA (compreso il pagamento dei dipendenti), altri rivolti ai cittadini (compresi servizi di pagamento). Tutto questo ha riguardato un gran numero di Comuni.

I danni agli enti coinvolti variano e dipendono da quantità e qualità dei servizi che sono stati affidati al cloud Urbi, sviluppato dalla PA Digitale. Le funzionalità di questo cloud dipendono dall’infrastruttura presa di mira, Westpole appunto.

LEGGI ANCHE >>> Gli effetti dell’attacco ransomware a Westpole dell’8 dicembre

I criminali di LockBit e il loro agire aziendale

LockBit è un gruppo criminale strutturato, in sostanza, come un’azienda. La loro proposta è quella del ransomware come servizio offerto (RaaS, ovvero Ransomware-as-a-service). Il software che hanno sviluppato (perfezionandolo e rendendolo sempre più efficace nel tempo) permette a coloro che pagano di effettuare attacchi ransowmare, quella tipologia di offensiva cyber che permette di criptare i dati della vittima e di chiedere un riscatto. Qualora il riscatto non venga corrisposto, come nel caso dell’attacco di cui stiamo parlando oggi, c’è la possibilità che i dati vengano diffusi in rete.

La Cybersecurity & Infrastructure Security Agency ha creato una sorta di carta di identità – aggiornata al 2023 – in cui viene spiegata la minaccia che LockBit costituisce.  In particolare, emerge come «nel 2022 LockBit è stata la variante di ransomware più distribuita in tutto il mondo e continua a essere prolifica nel 2023». A partire dal 2020 questo tipo di ransomware è stato messo in campo per attaccare «organizzazioni di varie dimensioni in una serie di settori infrastrutturali critici, tra cui servizi finanziari, prodotti alimentari e agricoltura, istruzione, energia, servizi governativi e di emergenza, sanità, produzione e trasporti».

LockBit 3.0: come funziona l’ultima versione del ransomware

Come confermato a diverse testate (tra cui anche Cybersecurity360), i criminali che hanno attaccato con LockBit hanno chiesto un riscatto dopo l’attacco compiuto all’alba dell’8 dicembre. LockBit lavora andando a – sempre secondo la Cybersecurity & Infrastructure Security Agency americana – «sviluppare e mantenere la funzionalità di una particolare variante di ransomware» per poi «vendere l’accesso a quella variante di ransomware a individui o gruppi di operatori (spesso indicati come “affiliati”) e sostiene la distribuzione del proprio ransomware da parte degli affiliati in cambio di un pagamento anticipato, di quote di abbonamento, di una parte dei profitti o di una combinazione di pagamento anticipato, quote di abbonamento e una parte dei profitti».

Come riferito da Riccardo Croce – direttore del Centro nazionale anticrimine informatico delle infrastrutture critiche (Cnaipic) della Polizia postale – a Guerre di Rete, LockBit in Italia è una delle gang cyber maggiormente attive e legati ai loro attacchi sono attualmente aperti cinquanta procedimenti penali. LockBit 3.0, utilizzato in questa occasione, è stato presentato lo scorso giugno ed è stato ampliato con funzionalità BlackMatter. L’ultima versione del ransomware ha preso anche il nome di LockBit Black ed è già finita nel mirino dell’FBI in quanto «più modulare e sfuggente» delle versioni precedenti.

Come funziona LockBit 3.0? Proprio come altri ransomware, agisce crittografando i file di chi ne è vittima e chiede un riscatto per la decrittazione. Alla vittima arriva una nota con il nuovo nome del file e lo sfondo del computer cambia. Rispetto agli altri, questa versione ha una maggiore efficienza ed è più difficile da risolvere, nel senso che riesce a eludere le possibili soluzioni nell’ambito della sicurezza tradizionale.

Passando alle sue caratteristiche, LockBit 3.0 si distingue per la sua capacità di crittografia ultraveloce che permette di bloccare i file in pochi minuti. La sua capacità di aggirare determinate misure di sicurezza lo rendono ancora più letale e il suo pannello di amministrazione risulta essere molto intuitivo, andando di fatti a semplificare la gestione dell’attacco da parte del cybercriminale.