11 giorni di attacco LockBit: una panoramica dettagliata

I ransomware sono una minaccia sempre più sofisticata per le organizzazioni e le aziende. Uno dei gruppi più noti in questo campo è LockBit, che ha dimostrato una capacità di evoluzione e di attacco sempre più complessa. Questo articolo esplora un recente attacco LockBit che ha durato 11 giorni, mostrando come i cyberattacchi evolvono e fornendo suggerimenti per difendersi.

11 giorni di attacco LockBit

Un recente attacco LockBit è stato descritto in dettaglio da The DFIR Report e altri analisti di sicurezza. L’attacco iniziò con l’esecuzione di un file malizioso denominato setup_wm.exe, che mascherava la sua vera natura come utilità di configurazione per Windows Media[1][3].

Iniziale Compromissione
Il file malizioso, in realtà un beacon di Cobalt Strike, fu eseguito da un utente non sospettoso che lo aveva scaricato da un sito web malizioso. Entro 30 minuti, il beacon iniziò a eseguire comandi di scoperta, tra cui nltest, per identificare i controller di dominio[1][3].

Espansione della Fattura
Utilizzando le credenziali rubate, gli attaccanti deploysarono due strumenti proxy, SystemBC e GhostSOCKS, su un controller di dominio utilizzando SMB e servizi remoti. Sebbene Windows Defender abbia bloccato GhostSOCKS, SystemBC rimase attivo, stabilendo un canale di controllo e comando[1][3].

Movimento Laterale e Persistenza
Gli attaccanti utilizzarono PsExec e PowerShell per il movimento laterale, deploysarono ulteriori beacon di Cobalt Strike e utilizzarono strumenti come Seatbelt e SharpView per la ricognizione di rete. La persistenza fu garantita attraverso compiti programmati e modifiche al registro[1][3].

Esfiltrazione dei Dati
Gli attaccanti utilizzarono Internet Explorer per accedere a siti di condivisione temporanea dei file e successivamente Rclone per l’esfiltrazione su larga scala. Le prime tentativi di esfiltrazione via FTP fallirono, ma gli attaccanti riuscirono a trasferire dati di diversi gigabyte utilizzando Mega.io e un altro server FTP[1][3].

Deploy di LockBit
Il 11° giorno, gli attaccanti si concentrarono sulla deploy di LockBit ransomware. Utilizzarono un server di backup come punto di partenza, deploysando script batch per automatizzare il processo. Il ransomware LockBit, denominato ds.exe, fu distribuito su host remoti utilizzando strumenti come PsExec e BITSAdmin. Gli attaccanti eseguirono il ransomware remotamente tramite WMI e PsExec, disabilitando Windows Defender e modificando le impostazioni RDP per facilitare l’attacco[1][3].

Suggerimenti e Consigli per la Sicurezza

1. Monitoraggio Continuo
   • Assicurarsi di avere un sistema di monitoraggio continuo per rilevare eventuali attività sospette.
2. Educazione degli Utenti
   • Educa gli utenti a riconoscere e evitare i file maliziosi, utilizzando strumenti di sicurezza come antivirus e firewall.
3. Implementazione di Misure di Sicurezza

• Implementare misure di sicurezza come l’uso di credenziali robuste, l’aggiornamento costante del software e l’installazione di patch.

4. Utilizzo di Strumenti di Sicurezza
   • Utilizzare strumenti di sicurezza come Cobalt Strike Beacon Detector per rilevare eventuali beacon di Cobalt Strike.
5. Backup Regolare
   • Eseguire backup regolari dei dati importanti e archivarli in un luogo sicuro, come un server di backup esterno.
6. Disabilitazione di Servizi Non Necessari

• Disabilitare servizi non necessari per ridurre la superficie di attacco.

7. Utilizzo di Strumenti di Esfiltrazione dei Dati
   • Utilizzare strumenti come Rclone solo se necessario e assicurarsi di utilizzare configurazioni sicure.
8. Implementazione di Politiche di Sicurezza
   • Implementare politiche di sicurezza che prevedano la disabilitazione di Windows Defender solo in casi estremi e con autorizzazione esplicita.
9. Formazione Continua

• Offrire formazione continua ai dipendenti per mantenerli aggiornati sulle ultime minacce di sicurezza e sulle migliori pratiche di sicurezza.

10. Rapida Risposta alle Emergenze
    • Avere un piano di risposta alle emergenze in caso di attacco, che preveda la rapida identificazione e isolamento delle macchine compromesse.

I ransomware LockBit rappresentano una minaccia sempre più sofisticata per le organizzazioni. La recente attività di attacco che ha durato 11 giorni mostra come i cyberattacchi evolvono e come i gruppi di attacchi utilizzano strumenti avanzati per infiltrarsi e esfiltrare dati. Per difendersi, è essenziale implementare misure di sicurezza robuste, monitorare continuamente le attività del sistema, educare gli utenti e avere un piano di risposta alle emergenze. Seguendo questi suggerimenti, le organizzazioni possono ridurre la probabilità di essere colpite da attacchi ransomware e minimizzare l’impatto in caso di attacco.

Fonte: https://gbhackers.com/lockbit-ransomware-11-day-timeline