LockBit aveva sviluppato la versione 4.0 del ransomware
Topic
Approfondimenti
Trending
tutti

LockBit aveva sviluppato la versione 4.0 del ransomware

Sui server sequestrati dalle forze di polizia è stato trovato il codice di LockBit-NG-Dev che sarebbe stato distribuito come LockBit 4.0.
LockBit aveva sviluppato la versione 4.0 del ransomware
Sicurezza
Sui server sequestrati dalle forze di polizia è stato trovato il codice di LockBit-NG-Dev che sarebbe stato distribuito come LockBit 4.0.
Bleeping Computer

L’infrastruttura principale di LockBit è stata smantellata durante la Operation Cronos che ha inoltre portato all’arresto di due membri del gruppo. Grazie alla collaborazione con la National Crime Agency (NCA) del Regno Unito, gli esperti di Trend Micro hanno analizzato il codice della versione 4.0 del ransomware.

LockBit-NG-Dev: supporto multipiattaforma

LockBit è un RaaS (Ransom-as-a-Service), quindi gli sviluppatori del ransomware assegnano ad altri cybercriminali (affiliati) il compito di eseguire gli attacchi, seguendo specifiche regole. Se l’attacco ha successo e la vittima paga il riscatto, gli sviluppatori trattengono il 20%, mentre il restante 80% rimane agli affiliati.

La versione 1.0 è stata pubblicata a gennaio 2020. Successivamente sono state rilasciate le versioni 2.0 (giugno 2021) e 3.0 (marzo 2022). Da ottobre 2021 è disponibile anche una versione Linux usata per colpire i sistemi VMware ESXi. Sui server sequestrati dalle forze di polizia è stato trovato il codice di LockBit-NG-Dev, ovvero la Next Generation (NG) del ransomware in sviluppo (Dev) che sarebbe diventata LockBit 4.0.

Rispetto alla versione 3.0 ci sono diverse modifiche. Innanzitutto è “platform-agnostic”, quindi poteva colpire dispositivi con qualsiasi sistema operativo. È stato scritto in .NET e compilato con CoreRT (le precedenti versioni sono state scritte in C/C++). Il file di configurazione in formato JSON contiene varie informazioni, tra cui data di inizio e fine dell’esecuzione, la chiave RSA pubblica e l’elenco di processi/servizi da terminare.

Sono state eliminate alcune precedenti funzionalità (ad esempio la capacità di auto-propagazione), ma è stata migliorata la procedura di cifratura dei file. La nuova versione supporta tre modalità: completa (intero file), intermittente (porzioni di file non contigui) e rapida (solo i primi 4.096 byte). La chiave RSA pubblica viene usata per cifrare la chiave AES usata per cifrare i file.

Il Dipartimento di Stato degli Stati Uniti ha offerto una ricompensa di 15 milioni di dollari a chiunque fornisca informazioni che portino all’identificazione, alla posizione e all’arresto dei leader di LockBit.

Fonte: Trend Micro

Pubblicato il 23 feb 2024

Link copiato negli appunti

Ti potrebbe interessare

Password al sicuro con l’offerta NordPass: costo a meno di 2 euro al mese

Password al sicuro con l’offerta NordPass: costo a meno di 2 euro al mese
Eken rilascia un fix per i campanelli spioni

Eken rilascia un fix per i campanelli spioni
Saldi online PrivateVPN: prezzo super basso per i nuovi clienti

Saldi online PrivateVPN: prezzo super basso per i nuovi clienti
Brokewell: nuovo trojan bancario per Android

Brokewell: nuovo trojan bancario per Android
Password al sicuro con l’offerta NordPass: costo a meno di 2 euro al mese

Password al sicuro con l’offerta NordPass: costo a meno di 2 euro al mese
Eken rilascia un fix per i campanelli spioni

Eken rilascia un fix per i campanelli spioni
Saldi online PrivateVPN: prezzo super basso per i nuovi clienti

Saldi online PrivateVPN: prezzo super basso per i nuovi clienti
Brokewell: nuovo trojan bancario per Android

Brokewell: nuovo trojan bancario per Android
Luca Colantuoni
Pubblicato il
23 feb 2024
Link copiato negli appunti