I ransomware LockBit attaccano Apple. La notizia desta preoccupazioni, considerando che sino ad ora tutti gli attacchi della gang sono stati sferrati su dispositivi Windows o Linux. L’informazione è emersa a ridosso della recente individuazione di una versione del codice di LockBit sviluppata appositamente per attaccare i sistemi Mac-Os.
Ransomware in fase di sviluppo
Ad individuare il ransomware per macOs sono stati i ricercatori di MalwareHunterTeam. Tuttavia, come si legge sul loro profilo twitter, il virus è ancora ancora in fase di sviluppo e la versione attualmente circolante online è solo una build di test, al momento, senza la capacità di cifrare file e con un bug buffer overflow che ne provoca il crash durante l’esecuzione. In sostanza, la buona notizia è che la firma del file non è (ancora) valida, quella cattiva è che LockBit sta lavorando per svilupparne una perfettamente funzionante.
Ransomware-as-service
La scoperta è molto preoccupante anche per il modello di business sviluppato dal gruppo LockBit. La gang, infatti, fornisce l’accesso ai propri ransomware anche ad altri hacker attraverso il modello di business di Ransomware-as-a-service (Raas), il che significa che gli sviluppatori, in questo caso LockBit, forniscono accesso al malware e alla sua infrastruttura ad altri cybercriminali a pagamento (quasi sempre ricevuto in criptovalute). Questo rende facile prevedere che il ransomware destinato a macOS potrebbe diffondersi molto rapidamente.
Gli obbiettivi di LockBit
Swascan, una società di sicurezza specializzata nella difesa contro gli attacchi informatici, ha segnalato che negli ultimi tre mesi del 2022 ben 817 imprese sono state vittime di LockBit. Inoltre, tra le recenti vittime del ransomware c’è anche la società che gestisce il servizio idrico di Oporto. LockBit è stato responsabile del 40% di tutti gli attacchi ransomware osservati lo scorso anno, rendendolo uno dei più pericolosi attori di minacce ransomware. Il ransomware si concentra soprattutto su aziende e organizzazioni, bloccando l’accesso ai dati e chiedendo un riscatto per liberarli.
Cosa rende LockBit così performante?
Secondo l’importante analista Jon DiMaggio, il gruppo criminale ha creato un ransomware facile da usare e costantemente aggiornato per aggirare le protezioni. Inoltre, il gruppo è sempre alla ricerca di feedback degli utenti e si preoccupa della loro esperienza con il ransomware. Infine, LockBit adotta un’organizzazione para aziendale, rendendolo molto attraente per gli aspiranti hacker (vedi punto precedente sul Ransomware-as-service). Tutti questi fattori hanno contribuito a rendere LockBit uno dei ransomware più pericolosi e diffusi al mondo, capace di mettere in ginocchio numerose organizzazioni vittime dei suoi attacchi.
Cosa sappiamo di LockBit
LockBit è la cybergang più attiva al mondo. Fondata nel 2019, è localizzata nell’Est Europa, (probabilmente in Russia), e riunisce decine di hacker specializzati in cyberattacchi, principalmente a scopo di estorsione. Il ransomware LockBit, sviluppato fino alla versione 3.0, è considerato uno dei più efficaci nella strategia delle estorsioni on line. La nuova versione utilizza un programma di bug bounty per permettere alle vittime di recuperare i dati rubati in cambio del pagamento di un riscatto. Recentemente, LockBit ha riempito che le pagine di cronaca italiane, avendo colpito il sito dell’Agenzia delle Entrate.
