LockBit è un ransomware, ovvero un tipo di programma malevolo che una volta installati in un PC eseguono la crittografia dei file su disco rendendo impossibile la loro lettura, salvo l’acquisto della chiave di decriptazione, venduta solitamente dai criminali a caro prezzo. Senza un backup molto spesso pagare è l’unico metodo per potenzialmente riottenere l’accesso ai dati.
Anche i ransomware si evolvono. In un mondo che sta convertendo server fisici a macchine virtuali per risparmiare risorse dei computer, consolidare i server e semplificare i backup, le bande di ransomware hanno evoluto le loro tattiche per creare dei ransomware capaci di prendere di mira le popolari piattaforme di virtualizzazione VMware vSphere ed ESXi.
Recentemente Trend Micro ha osservato una rapida diffusione di una variante di LockBit, identificata col nome di LockBit Linux-ESXi Locker version 1.0, che rappresenta uno sforzo da parte dei cyber criminali di colpire piattaforme diverse da Windows. Questa variante, oltre a bersagliare i sistemi basati su Linux, potrà danneggiare anche ESXI, l’Hypervisor per macchine virtuali di VMware.
Lockbit utilizza per funzionare una combinazione di algoritmi Advanced Encryption Standard (AES) ed Elliptic Curve Cryptography (ECC) e può raccogliere anche diverse informazioni sul sistema, tra cui:
- Processore;
- Archiviazione;
- Se si trova in una macchina virtuale o una fisica, ignorando l’host nel primo caso;
- Numero totale di file;
- Numero di Macchine virtuali in esecuzione;
- file criptati, se già presenti;
- Virtual machine criptate, se già presenti;
- dimensione complessiva dei file criptati;
- tempo speso per criptare tutti i file.
L’allarme è alto perché, con l’uscita di scena di REvil, LockBit è di fatto il RaaS più importante sulla scena criminale e ha nel suo arsenale un ampio set di armi efficaci e difficili da contrastare, oltre che budget elevati da investire per nuove tattiche e strumenti.
Non combattere da solo
Sebbene metà dei cyber attacchi abbia preso di mira le PMI e costi alle aziende una media di 150 mila euro, solo il 14% delle PMI si difende in modo adeguato.
La tua azienda ha probabilmente diversi dispositivi a cui mancano patch di sicurezza, configurazioni corrette e monitorate 24/24. Non è questo il focus della tua attività, chiaramente, hai altro da fare. Ma purtroppo questi device possono essere attaccati dall’esterno per poi essere usati per rubare i tuoi dati, modificarli, bloccare la tua attività fino al pagamento di un riscatto.
Fortunatamente si può mitigare questi rischi attraverso le giuste competenze.
Puoi approfondire questo argomento iscrivendoti alla nostra newsletter o attraverso la lettura di questi articoli: