La LockBit è stata segnalata per la prima volta nel 2019 ed è stata incluso nella lista dei “gruppi ransomware più attivi” a livello globale nel 2021. La sua estrema pericolosità risiede nel fatto che non solo crittografa i dati della vittima, ma anche sposta i dati crittografati su server esterni. Questi server sono controllati dai cybercriminali e utilizzati per ricattare ulteriormente la vittima. 
 
Ci sono numerosi esempi in cui le vittime di LockBit sono state costrette a pagare molti soldi per ottenere la decrittazione dei loro dati. In alcuni casi, le vittime hanno pagato 2M di dollari in criptovalute ed anche oltre, per riprendere il controllo dei loro dati ed evitare che venissero successivamente pubblicati nel darkweb. Queste cifre indicano quanto sia importante proteggere i nostri sistemi informatici. 

Questa è la parte che spesso le vittime non conoscono! 

Nel sito della LockBit nel darkweb troviamo una vera e propria vetrina di marketing dove le vittime sono messe in bella mostra in un riquadro rosso con un conto alla rovescia che, una volta scaduto, fa diventare il riquadro verde e coincide con la pubblicazione di tutti i dati rubati alla vittima. Le vittime, spesso ignare di questa parte di un attacco, subiscono cosi un danno molto più impattante del primo: non solo i loro file e cartelle possono essere scaricate ed accedute da chiunque riesca ad accedere a questi siti (la LockBit vanta ad oggi ben 9 Mirror sites) ma possono incappare in multe del Garante della Privacy se in questi file troviamo dati protetti dalla privacy (come i PII – Personal Indentify Information o dati sanitari o finanziari). 

Voglio ricordare che è diventato indispensabile effettuare un Incident Analysis a seguito ad un qualsiasi sintomo di intromissione. 

Quindi: La prevenzione è la chiave nella lotta contro i gruppi ransomware come LockBit. La cosa più importante è essere consapevoli dei rischi e creare sistemi di sicurezza efficaci per proteggere le informazioni personali e aziendali. Alcune delle strategie più efficaci che possono essere utilizzate includono: 

1. Conoscenza delle vulnerabilità 
   Conoscenza di tutte le vulnerabilità su tutte le superfici di attacco (tecnologiche, progettuali, procedurali, umane); 
   
   
2. Segmentazione della rete 
   Per impedire la diffusione di malware o virus, dividi la tua rete in segmenti in modo da poter isolare e contenere malware;
   
   
3. Backup 
   Regola del 3-2-1-1-0 tre copie di dati su due supporti diversi e una copia fuori sede, una copia offline che sia immutabile;
4. Mantenere i sistemi aggiornati 
   Aggiorna periodicamente i tuoi sistemi con patch di sicurezza e sostituendo l’Hardware obsoleto; 
   
   
5. Protezione dei privilegi 
   Alcuni utenti privilegiati hanno accesso illimitato alle risorse di sistema. Proteggi questi account utente e il loro accesso (MFA), concetto di LeastPrivilege diamo agli utenti i privilegi minimi indispensabili per le loro attività; 
   
   
6. Formazione 
   3.5 miliardi di email di Phishing al giorno nel mondo, il 90% delle compromissioni avvengono attraverso le email di Phishing; 
    
   Inoltre, le organizzazioni dovrebbero sviluppare un piano d’emergenza che includa la gestione di situazioni di attacco ransomware. Per ottenere la massima protezione, è importante avere un’infrastruttura IT robusta e implementare misure di sicurezza progettate appositamente per proteggere contro le minacce ransomware. 
    
   In sintesi, LockBit è solo uno dei tanti gruppi ransomware che minacciano i sistemi informatici in tutto il mondo. La prevenzione è la chiave per prevenire di essere colpiti da attacchi ransomware come questi. Essere consapevoli dei rischi e implementare misure di sicurezza efficaci può fare la differenza tra proteggere i nostri dati e diventare vittime di cybercriminali senza scrupoli. 
   
   

Sandro Sana, Cyber Security Division Manager del Gruppo Eurosystem

Vuoi ricevere una consulenza in ambito cyber security? Contattaci a marketing@eurosystem.it