Cybercriminali, armati di credenziali di amministratore rubate, hanno distribuito una versione personalizzata del malware di crittografia dotata di capacità di auto-propagazione.
Sfruttando l’accesso privilegiato, gli attaccanti hanno violato l’infrastruttura aziendale, dimostrando il rischio continuo derivante dal rilascio del costruttore LockBit 3.0, nonostante la sua precedente esposizione.
“Il costruttore di LockBit 3.0 è stato rilasciato nel 2022, ma gli attaccanti lo utilizzano ancora attivamente per creare versioni personalizzate, senza nemmeno richiedere competenze di programmazione avanzate”, ha affermato Cristian Souza, un esperto di risposta agli incidenti presso Kaspersky.
“Questa flessibilità offre agli avversari molte opportunità per aumentare l’efficacia dei loro attacchi, come dimostra il recente caso. Ciò rende questi attacchi ancora più pericolosi, considerando l’aumento della frequenza delle fughe di credenziali aziendali.”
Secondo un nuovo rapporto di Kaspersky, l’incidente evidenzia anche una tendenza preoccupante in cui gli attaccanti creano ransomware sofisticati in grado di diffondersi autonomamente all’interno delle reti.
Il malware variante, identificato dalla società di sicurezza, presenta caratteristiche senza precedenti, tra cui l’imitazione degli amministratori di sistema e la diffusione adattiva all’interno delle reti.
Sfruttando credenziali di dominio altamente privilegiate, il ransomware può anche disattivare le misure di sicurezza, crittografare le condivisioni di rete e cancellare i registri degli eventi per mascherare le sue azioni. Ogni host infetto diventa un vettore per ulteriori infezioni, amplificando l’impatto all’interno della rete della vittima.
File di configurazione personalizzati consentono al malware di adattarsi a specifici ambienti di rete, aumentandone l’efficacia ed elusività. Questa flessibilità, combinata con la facilità d’uso del costruttore rilasciato, presenta sfide significative per i professionisti della cybersecurity.
La ricerca di Kaspersky ha anche scoperto l’uso dello script SessionGopher da parte degli aggressori per estrarre le password salvate dai sistemi interessati. Sebbene siano state osservate incidenti privi di alcune capacità avanzate in vari settori e regioni, la portata geografica degli attacchi potrebbe essere in espansione.
Secondo la società di sicurezza, il recente arresto del gruppo Lockbit ransomware da parte delle forze di polizia internazionali sottolinea gli sforzi collaborativi necessari per combattere tali minacce.
Come proteggere la tua azienda
Per mitigare gli attacchi ransomware, Kaspersky raccomanda di implementare il backup frequente, di distribuire soluzioni di sicurezza robuste e di fornire formazione sulla cybersecurity regolare ai dipendenti.
Backup frequenti
Implementare un sistema di backup regolare per garantire la disponibilità dei dati in caso di attacco ransomware.
Soluzioni di sicurezza robuste
Deployare soluzioni di sicurezza all’avanguardia per rilevare e bloccare gli attacchi ransomware.
Formazione sulla cybersecurity
Fornire formazione regolare ai dipendenti per aumentare la consapevolezza dei rischi associati ai ransomware e ad altre minacce informatiche.
La nuova variante di LockBit sfrutta le caratteristiche di auto-propagazione, rendendo gli attacchi ransomware ancora più pericolosi. Le aziende devono adottare misure proattive per proteggersi da questo tipo di minacce, tra cui l’implementazione di backup frequenti, la distribuzione di soluzioni di sicurezza robuste e la formazione regolare dei dipendenti sulla cybersecurity.
