Che il mondo dei ransomware sia costantemente in divenire è ormai cosa nota, con varie minacce sempre presenti poiché in grado di adattarsi alle nuove modalità di difesa di modo da riuscire ad aggirarle ed avere, così, rinnovata efficacia. Come detto, anche i gruppi hacker che più spesso sono riusciti ad eludere le difese non stanno mai fermi e così ha fatto anche il team di sviluppo di LockBit, uno dei ransomware più pericolosi degli ultimi anni.
Seppur si tratti ancora di sospetti, è stato notato come durante un attacco gli hacker abbiano provato inizialmente ad installare LockBit all’interno dei sistemi della vittima ma, non riuscendoci, siano passati a 3AM. Inizialmente gli hacker si sono infiltrati per comprendere quali fossero i servizi in esecuzione dei dispositivi e poi tentare di disattivarli. A seguito di questa analisi hanno iniziato a cifrare i file come qualsiasi altro ransomware cercando anche di cancellare qualsiasi copia di sicurezza esistente.
Gli esperti di cybersecurity hanno iniziato a preoccuparsi quando, tra le attività osservate, hanno visto la continua esecuzione dei comandi gpresult, utilizzati per verificare le politiche di sicurezza degli utenti dei dispositivi, successivamente poi è stata anche tentata la scalata dei privilegi all’interno dei sistemi ed infine si è verificato quello che in gergo viene chiamato “movimento laterale”, ovvero il controllo all’interno della rete della vittima, oltre a tentare la creazione di un utente persistente al suo interno. È esattamente dopo queste attività che gli hacker hanno provato, senza esito, di installare LockBit e passare alla cifratura dei file, ma non essendoci riusciti sono passati all’installazione di 3AM, il nuovo ransomware, che tuttavia è riuscito per ora ad infettare solo tre macchine oltre ad essere stato bloccato in altre due.
Per i server che hanno avuto la cifratura dei file è arrivata poi la classica nota di riscatto, che spiega anche il motivo del nome del ransomware, ovvero l’orario di cifratura dei file. Oltretutto l’estensione utilizzata sui file per cifrarli è .threeamtime e nella nota si fa riferimento alla cosiddetta “ora del misticismo” minacciando di non provare nemmeno a liberare i propri file perché sennò verranno irrimediabilmente danneggiati. Gli hacker tuttavia hanno addirittura messo a disposizione delle vittime una chat sempre attiva per chiedere informazioni sulle modalità di pagamento del riscatto, mettendo di fatto le vittime in contatto con i criminali, che ci tengono a precisare che in caso di mancato pagamento i dati verranno resi disponibili nel dark web.
Come gli esperti sottolineano, il collegamento tra 3AM e LockBit è ancora tutto da verificare, mentre è chiaro che se continueranno ad osservare attacchi perpetrati utilizzando questo malware è assai probabile che nei prossimi mesi se ne sentirà molto parlare in tutto il mondo e scalerà le classifiche dei virus più utilizzati.
Fonte: 1