Secondo gli esperti di Kaspersky, LockBit, uno dei gruppi ransomware più produttivi al mondo, ha recentemente aggiornato le proprie operazioni con funzionalità multi-piattaforma migliorate. LockBit ha guadagnato visibilità per aver preso di mira senza tregua le aziende di tutto il mondo, lasciando dietro di sé una scia di danni operativi e finanziari. Il recente report di Kaspersky evidenzia la determinazione di LockBit nell’espandere la sua portata e l’impatto delle sue attività malevole.
Inizialmente, LockBit non utilizzava leak portal, tattiche di doppia estorsione o esfiltrazioni di dati prima di aver criptato i dati della vittima. Tuttavia, il gruppo ha costantemente sviluppato la propria infrastruttura e le misure di sicurezza per proteggere le proprie risorse da varie minacce, tra cui gli attacchi ai panelli di amministrazione e quelli DDoS (Distributed Denial of Service).
La community della cybersecurity ha rilevato che LockBit sta adottando codici di altri gruppi ransomware noti, come BlackMatter e DarkSide. Questa scelta strategica non solo semplifica le operazioni per i potenziali affiliati ma amplia la gamma dei vettori di attacco utilizzati da LockBit. Le recenti scoperte del Threat Attribution Engine (KTAE) di Kaspersky hanno confermato che Lockbit ha integrato circa il 25% del codice utilizzato precedentemente dal gruppo ransomware Conti, ormai scomparsa, generando una nuova variante nota come LockBit Green.
I ricercatori di Kaspersky hanno scoperto un file ZIP contenente alcuni campioni di LockBit specificamente adattati per diverse architetture, tra cui Apple M1, ARM v6, ARM v7, FreeBSD e molte altre. Grazie a un’analisi approfondita e all’utilizzo del KTAE, è stato confermato che questi campioni sono stati creati dalla versione di LockBit Linux/ESXi, osservata precedentemente.
Sebbene alcuni campioni, come la variante macOS, richiedano un’ulteriore configurazione e non siano correttamente firmati, è evidente che LockBit sta testando attivamente il proprio ransomware su varie piattaforme, indicando un’imminente espansione degli attacchi. Questo sottolinea la necessità di adottare solide misure di sicurezza su tutte le piattaforme e di sviluppare maggiore consapevolezza tra la comunità business.
“LockBit è un gruppo ransomware estremamente attivo e noto per i suoi devastanti attacchi informatici alle aziende di tutto il mondo. Grazie a costanti miglioramenti dell’infrastruttura e all’integrazione di codici di altre gang di ransomware, LockBit rappresenta un’importante minaccia in costante evoluzione per le organizzazioni di diversi settori. È indispensabile che le aziende rafforzino le proprie difese, aggiornino costantemente i sistemi di sicurezza, sensibilizzino i dipendenti sulle best practice di sicurezza e definiscano protocolli di riposta agli incidenti per mitigare efficacemente i rischi derivanti da LockBit e altri gruppi di ransomware simili”, ha dichiarato Marc Rivero, Senior Security Researcher di Kaspersky’s Global Research and Analysis Team.
