Il gruppo di ransomware LockBit sta ora lavorando per migliorare la sua protezione contro Attacchi DDoS oltre ad aggiungere una tripla estorsione alle sue operazioni dannose. Queste azioni sono innescate da un recente scontro tra i criminali LockBit e la società di sicurezza Entrust.
LockBit sta migliorando la sua infrastruttura
LockBit ha lanciato un attacco contro Entrust durante il quale i dati sono stati rubati, eventualmente da utilizzare in schemi di doppia estorsione. Gli operatori di ransomware di solito pubblicano i dati rubati sul proprio sito di fuga aziendale. Tuttavia, il sito di fuga ha recentemente subito un attacco DDoS, eventualmente effettuato da Entrust, che ha impedito l'accesso ai dati pubblicati.
È interessante notare che la società non ha proceduto al pagamento del riscatto. Poi, LockBit ha dichiarato che pubblicherà tutti i dati Entrust rubati ad agosto 19, cosa impossibile a causa dell'attacco DDoS. Nonostante non sia stato confermato, si ritiene che l'attacco DDoS sia stato avviato da Entrust.
In risposta all'attacco che ha subito, LockBit ha annunciato che il gruppo ha migliorato il proprio gioco creando un'infrastruttura più ampia che consente l'accesso alle perdite abilitate da DDoS. Tripla estorsione, o chiedendo il pagamento di un riscatto dai clienti della vittima, partner, e altre terze parti correlate all'attacco iniziale, è un'altra aggiunta al modus operandi di LockBit.
“Cerco dudosers [DDoSer] nella squadra, molto probabilmente ora attaccheremo obiettivi e forniremo una tripla estorsione, crittografia + perdita di data + dudos, perché ho sentito il potere dei dudos e come rinvigorisce e rende la vita più interessante,” LockBitSupp, la figura rappresentativa pubblica della banda, condiviso in un post su un forum sotterraneo.
Oltre alla dichiarazione di cui sopra, LockBitSupp ha detto che avrebbero condiviso i dati rubati di Entrust su un torrent delle dimensioni di 300 GB. I dati verrebbero condivisi privatamente con chiunque si metta in contatto con loro prima di finalizzare il torrent. I criminali informatici hanno mantenuto la loro promessa e hanno rilasciato un torrent soprannominato entrust.com che contiene 343 GB di informazioni. Un'altra grande azienda nell'elenco delle vittime del ransomware è Accentura.
In agosto, SentinelLabs ha segnalato una nuova iterazione del ransomware – LockBit 3.0 o LockBit Nero – che era dotato di una serie di routine anti-analisi e anti-debugging, e la capacità per sfruttare un altro strumento legittimo: Windows Defender.