Flash news

Impariamo a conoscere LockBit2.0 il ransomware che ha attaccato Accenture

LockBit è un gruppo di ransomware di lingua russa che protegge le ex sedi internazionali sovietiche. 

LockBit è una delle tante bande di criminali di lingua russa, appunto, che evita di concentrarsi su eventuali vittime negli ex stati sovietici, una misura che si ritiene permetta loro di funzionare con la tacita approvazione delle autorità russe. 

È una delle varianti in vita di ransomware rispettose dell’ambiente, secondo la società di sicurezza informatica Emsisoft. Attivo da settembre 2019, ha attaccato centinaia di organizzazioni.

Tra le sue vittime identificate ci sono Press Trust of India. Colpita nell’ottobre 2020, la più importante società di informazioni in India è rimasta paralizzata per ore, ma è sopravvissuta all’assalto senza pagare un riscatto.

Nell’aprile 2021, la comunità ferroviaria britannica Merseyrail sarebbe stata focalizzata da LockBit. 

Apparentemente i criminali hanno dirottato l’account e-mail di un regista e hanno inviato un messaggio a lavoratori e giornalisti affermando che le informazioni erano state rubate.

L’assalto ad Accenture è solo il più recente di una serie di attacchi ransomware di alto profilo alle principali società occidentali.

A maggio, il gruppo REvil ha violato la compagnia Colonial Pipeline, interrompendo le forniture di gas lungo la costa orientale per giorni e causando il caos.

Giorni dopo, la grande JBS USA che lavora la carne bovina ha confermato di essere stata vittima di un assalto REvil, costringendola a interrompere le operazioni per un certo numero di giorni.

Il gruppo ReVil in seguito è misteriosamente scomparso e alcuni specialisti immaginano che i membri del gruppo abbiano unito le forze con LockBit dopo essere andati in clandestinità.

La banda di ransomware LockBit ha introdotto l’assalto martedì sera sul suo sito Web di databreach nel Darkweb, affermando di aver rubato più di 6 terabyte di informazioni “high secret” da Accenture.

La banda LockBit afferma che inizierà a rilasciare i dati dei record rubati da Accenture giovedì alle 20:43 fino a quando non verrà soddisfatta la sua richiesta di riscatto.  

In realtà ogni giorno si scontrano contro il grande mondo del web e il sito viene DDoS-sato a causa del grosso volume di traffico in entrata. Ancora adesso 12.08.21 ore 22.15, il download dei file risulta inaccessibile.

LockBit in pillole

Secondo Emsisoft, LockBit è una variante di ransomware che crittografa i file utilizzando la crittografia AES e richiede un riscatto elevato (in genere a cinque cifre) per la loro decrittazione. Mentre la maggior parte dei ceppi di ransomware moderni sono gestiti manualmente, i processi di LockBit sono in gran parte automatizzati, il che consente al ransomware di propagarsi e infettare altri host con una supervisione umana minima dopo il punto iniziale di compromesso.

LockBit opera secondo il modello di business ransomware-as-a-service (Raas), in base al quale gli sviluppatori di ransomware affittano il loro ransomware ad affiliati che ricevono una parte dei pagamenti di riscatto ricevuti dagli attacchi che effettuano.

La doppia estorsione, in cui gli attori delle minacce utilizzano i dati rubati per spingere le vittime a pagare il riscatto, è diventata una procedura standard tra la maggior parte dei gruppi di ransomware e LockBit non fa eccezione.

LockBit è stato notato per la prima volta a settembre 2019. Nelle versioni precedenti, si chiamava ABCD ransomware per riflettere l’estensione .abcd che aggiungeva ai file crittografati. L’estensione dei file è stata modificata in .LockBit nelle versioni successive.