Mentre il gruppo Conti chiude le attività (ma è solo una riorganizzazione interna), i colleghi di LockBit continuano a dominare il mercato, come dimostra il recente report di NCC Group. Per uno dei recenti attacchi è stato utilizzato un trucco piuttosto ingegnoso, ovvero l’invio di email che avvisavano l’utente di una presunta violazione di copyright.
LockBit: phishing per distribuire ransomware
Un attacco ransomware necessita di una “porta di ingresso” per avere successo. Spesso i cybercriminali sfruttano le vulnerabilità software, ma è più semplice accedere ai computer attraverso la complicità involontaria degli utenti. LockBit sfrutta il phishing per convincere la vittima ad installare il file eseguibile. In un recente attacco, l’email segnala l’uso di immagini protette dal diritto d’autore, invitando il destinatario a rimuoverle dal sito per evitare problemi legali.
Nel corpo dell’email non sono elencate le immagini che violano il copyright, ma è necessario scaricare il file allegato. Quest’ultimo è un archivio ZIP protetto da password, al cui interno c’è un file eseguibile (installer NSIS) indicato come un documento PDF. In questo modo, il malware non dovrebbe essere rilevato dagli antivirus. Quando l’utente apre il file PDF, LockBit inizia a cifrare i file sul computer, cancella le copie shadow e aggiunge una chiave di registro per l’avvio automatico.
Ovviamente al termine dell’operazione viene mostrato un avviso che spiega come recuperare i file. La vittima deve visitare un sito dove troverà le istruzioni e il riscatto da pagare. Secondo i dati di NCC Group, il 40% degli attacchi ransomware nel mese di maggio è stato effettuato con LockBit 2.0. È quindi fortemente consigliata l’installazione di software che rilevano e bloccano questa pericolosa minaccia. Tra i più efficaci ci sono gli antivirus di Bitdefender.