LockBit, nuovi attacchi dopo la retata della polizia

A pochi giorni dall’importante operazione Cronos delle forze dell’ordine che ha inferto un duro colpo al noto gruppo ransomware LockBit, i ricercatori hanno rilevato una nuova ondata di attacchi, associati alla stessa organizzazione criminale, che sta nuovamente diffondendo il noto malware.

Gli attacchi, individuati nelle ultime 24 ore dalle società di sicurezza Sophos e Huntress, sfruttano due vulnerabilità gravi di ScreenConnect, un'applicazione di remote dekstop di Connectwise. Le due società di sicurezza osservano che gli attaccanti che riescono a sfruttare con successo le falle procedono poi ad installare il ransomware LockBit e altri malware post-exploit come Cobalt Strike. Le vulnerabilità ScreenConnect sono al momento oggetto di sfruttamento di massa e vengono tracciate come CVE-2024-1708 e CVE-2024-1709. ConnectWise ha reso disponibili patch per tutte le versioni vulnerabili, comprese quelle non più supportate attivamente.

"Non possiamo nominare pubblicamente i clienti in questo momento, ma possiamo confermare che il malware distribuito è associato a LockBit, il che è particolarmente interessante alla luce della recente rimozione di LockBit. Anche se non possiamo attribuire questo direttamente al gruppo LockBit, è chiaro che LockBit ha una vasta portata che abbraccia strumenti, vari gruppi affiliati e ramificazioni che non sono state completamente cancellate nemmeno con la massiccia rimozione da parte delle forze dell'ordine" ha affermato, John Hammond, principale ricercatore di sicurezza presso Huntress. Hammond ha precisato che il ransomware viene distribuito presso "uffici veterinari, cliniche sanitarie e amministrazioni locali (inclusi attacchi contro sistemi legati ai servizi di emergenza)".

Le due società di sicurezza SophosXOps e Huntress non hanno specificato se il ransomware distribuito negli attacchi recenti sia la versione originale di LockBit o la versione circolata in via "non ufficiale" nel 2022 ad opera di un insider insoddisfatto, ampiamente utilizzata per una serie di attacchi non affiliati all'operazione originale. Nel momento in cui le versioni di malware "fuoriescono" dai gruppi di riferimento diventa più complicato riuscire ad attribuire correttamente le campagne di attacco.

Chiaramente dato l'enorme numero di affiliati e la distribuzione particolarmente ampia, sia in termini meramente geografici sia per quanto concerne le risorse e la gestione organizzativa, è plausibile che l'operazione speciale delle forze di polizia non abbia neutralizzato completamente la minaccia. Le nuove ondate di attacchi potrebbero essere inoltre interpretate come un segnale che in un modo o nell'altro LockBit continuerà a colpire.

Intanto, a seguito dell'operazione coordinata dalla National Crime Agency del Regno Unito, un'altra società di sicurezza, Trend Micro, è venuta in possesso di un campione di una nuova versione del malware LockBit che il gruppo stava sviluppando prima che le operazioni fossero interrotte dalle forze dell'ordine.

Il nuovo malware, soprannominato internamente LockBit-NG-Dev (verosimilmente LockBit 4.0) è risultato essere un codice scritto in .NET, complilato con CoreRT e compresso con MPRESS, laddove la versione precedente di LockBit è realizzata in C/C++. Trend Micro osserva che la versione non comprende alcune funzionalità presenti nelle precedenti versioni, come ad esempio la capacità di propagarsi autonomamente su reti compromesse e la possibilità di stampare la richiesta di riscatto su stampanti collegate alle reti. Ciononostante il codice sembra essere abbastanza vicino alle fasi finali dello sviluppo, mettendo a disposizione già una buona parte delle funzionalità previste.

La scoperta di una versione embrionale di un nuovo malware rappresenta un ulteriore elemento di successo dell'operazione Cronos, con le forze dell'ordine che ora hanno a disposizione il codice sorgente sia delle versioni precedenti già utilizzate sia della versione che sarebbe stata prossima alla diffusione.