Seleziona una pagina
venerdì, Feb 23

LockBit, nuovi attacchi dopo la retata della polizia

da Hardware Upgrade :

A pochi giorni dall’importante operazione
Cronos
delle forze dell’ordine che ha inferto un duro colpo al noto
gruppo ransomware LockBit, i ricercatori hanno rilevato una nuova
ondata di attacchi, associati alla stessa organizzazione criminale, che
sta nuovamente diffondendo il noto malware.

Gli attacchi, individuati nelle ultime 24 ore dalle società di sicurezza
Sophos e Huntress, sfruttano due vulnerabilità gravi di ScreenConnect,
un’applicazione di remote dekstop di Connectwise. Le due società di
sicurezza osservano che gli attaccanti che riescono a sfruttare con
successo le falle procedono poi ad installare il ransomware LockBit e
altri malware post-exploit come Cobalt Strike. Le vulnerabilità
ScreenConnect sono al momento oggetto di sfruttamento di massa e vengono
tracciate come CVE-2024-1708 e CVE-2024-1709. ConnectWise ha reso
disponibili patch per tutte le versioni vulnerabili, comprese quelle non
più supportate attivamente.




“Non possiamo nominare pubblicamente i clienti in questo momento, ma
possiamo confermare che il malware distribuito è associato a LockBit, il
che è particolarmente interessante alla luce della recente rimozione di
LockBit. Anche se non possiamo attribuire questo direttamente al gruppo
LockBit, è chiaro che LockBit ha una vasta portata che abbraccia
strumenti, vari gruppi affiliati e ramificazioni che non sono state
completamente cancellate nemmeno con la massiccia rimozione da parte delle
forze dell’ordine” ha affermato, John Hammond, principale ricercatore di
sicurezza presso Huntress. Hammond ha precisato che il ransomware viene
distribuito presso “uffici veterinari, cliniche sanitarie e
amministrazioni locali (inclusi attacchi contro sistemi legati ai servizi
di emergenza)”.

Le due società di sicurezza SophosXOps e Huntress non hanno specificato
se il ransomware distribuito negli attacchi recenti sia la versione
originale di LockBit o la versione circolata in via “non ufficiale” nel
2022 ad opera di un insider insoddisfatto, ampiamente utilizzata per una
serie di attacchi non affiliati all’operazione originale. Nel momento in
cui le versioni di malware “fuoriescono” dai gruppi di riferimento diventa
più complicato riuscire ad attribuire correttamente le campagne di
attacco
.

Chiaramente dato l’enorme numero di affiliati e la distribuzione
particolarmente ampia, sia in termini meramente geografici sia per quanto
concerne le risorse e la gestione organizzativa, è plausibile che
l’operazione speciale delle forze di polizia non abbia neutralizzato
completamente la minaccia. Le nuove ondate di attacchi potrebbero essere
inoltre interpretate come un segnale che in un modo o nell’altro LockBit
continuerà a colpire.

Intanto, a seguito dell’operazione coordinata dalla National Crime Agency
del Regno Unito, un’altra società di sicurezza, Trend Micro, è venuta
in possesso di un campione di una nuova versione del malware LockBit

che il gruppo stava sviluppando prima che le operazioni fossero interrotte
dalle forze dell’ordine.

Il nuovo malware, soprannominato internamente LockBit-NG-Dev
(verosimilmente LockBit 4.0) è risultato essere un codice scritto in
.NET
, complilato con CoreRT e compresso con MPRESS, laddove la
versione precedente di LockBit è realizzata in C/C++. Trend Micro osserva
che la versione non comprende alcune funzionalità presenti nelle
precedenti versioni, come ad esempio la capacità di propagarsi
autonomamente su reti compromesse e la possibilità di stampare la
richiesta di riscatto su stampanti collegate alle reti. Ciononostante il
codice sembra essere abbastanza vicino alle fasi finali dello sviluppo,
mettendo a disposizione già una buona parte delle funzionalità previste.

La scoperta di una versione embrionale di un nuovo malware rappresenta un
ulteriore elemento di successo dell’operazione Cronos, con le forze
dell’ordine che ora hanno a disposizione il codice sorgente sia delle
versioni precedenti già utilizzate sia della versione che sarebbe stata
prossima alla diffusione.

Source link