La fuga di LockBit 3.0 lo scorso anno ha portato gli attori delle minacce a sfruttare lo strumento per generare nuove varianti. Una recente analisi di Kaspersky ha rivelato dettagli interessanti su come questo strumento sia stato utilizzato nel panorama delle minacce.
NATIONAL HAZARD AGENCY: nuova entità nel panorama ransomware
Kaspersky ha rilevato un’intrusione ransomware che ha utilizzato una versione di LockBit con una procedura di richiesta di riscatto notevolmente diversa. L’attaccante dietro questo incidente ha deciso di utilizzare una nota di riscatto differente con un’intestazione relativa a un gruppo precedentemente sconosciuto, chiamato NATIONAL HAZARD AGENCY. Questa nuova nota specificava direttamente l’importo da pagare per ottenere le chiavi di decrittazione e indirizzava le comunicazioni a un servizio Tox e a un’email. Questo si discosta dal gruppo LockBit, che non menziona l’importo e utilizza la sua piattaforma di comunicazione e negoziazione.
Altri attori minacciosi che sfruttano LockBit 3.0
NATIONAL HAZARD AGENCY non è l’unico gruppo di cybercriminali a utilizzare il costruttore LockBit 3.0 trapelato. Altri attori delle minacce noti per averlo sfruttato includono Bl00dy e Buhti. Kaspersky ha rilevato un totale di 396 campioni distinti di LockBit, di cui 312 sono stati creati utilizzando i costruttori trapelati. Ben 77 campioni non fanno riferimento a “LockBit” nella nota di riscatto.
Ransomware: Un ecosistema in continua evoluzione
Il ransomware rimane un ecosistema in rapida evoluzione, con frequenti cambiamenti nelle tattiche e nel targeting. Si sta assistendo a un crescente focus sugli ambienti Linux utilizzando famiglie come Trigona, Monti e Akira. Quest’ultima ha anche legami con attori minacciosi affiliati a Conti e ha attaccato sfruttando prodotti VPN Cisco come vettore di attacco.
Conclusione: L’importanza della consapevolezza della sicurezza
La divulgazione del costruttore di ransomware LockBit 3.0 sottolinea l’importanza della consapevolezza della sicurezza e della necessità di rimanere aggiornati sulle ultime minacce. Le organizzazioni devono adottare misure proattive per proteggere le loro reti e i loro dati da attacchi ransomware sempre più sofisticati.