LockBit 3.0 è l’ultima versione del famigerato ransomware. Alcuni membri dell’omonimo gruppo di cybercriminali hanno sviluppato Exfiltrator-22, un framework post-exploitation che permette di distribuire il malware nelle reti aziendali, aggirando i controlli di sicurezza. I ricercatori di Cyfarma hanno scoperto le funzionalità complete del tool.
Exfiltrator-22: tool amico di LockBit 3.0
Exfiltrator-22 viene venduto nei forum del dark web o tramite una canale Telegram. I prezzi dell’abbonamento variano tra 1.000 dollari/mese a 5.000 dollari una tantum. L’acquirente riceve le credenziali di login ad un pannello di amministrazione ospitano su un VPS (Virtual Private Server). Il tool utilizza la stessa infrastruttura C2 (command and control) di LockBit 3.0.
Exfiltrator-22 entra in gioco quando i cybercriminali ottengono l’accesso alla rete aziendale. Le sue funzionalità, gestibili dal suddetto pannello di controllo, sono numerose. Può stabilire un collegamento dal dispositivo al server remoto con privilegi elevati, scaricare file da server e inviare al server i file rubati dal computer, registrare i tasti premuti (keylogger), catturare screenshot, stabilire una connessione VNC, rubare password e token di autenticazione, attivare la persistenza (avvio automatico al boot) e ovviamente installare il ransomware.
Per offuscare il traffico HTTPS da e verso il server C2 viene utilizzato Meek, un plugin per Tor. In questo modo è possibile sfruttare domini noti, come quelli della CDN di Akamai. Il tool viene aggiornato con una certa frequenza, quindi è difficile individuarlo. I suoi autori hanno competenze tecniche piuttosto elevate.