Nel mese di febbraio, una significativa vittoria è stata ottenuta nella lotta contro il ransomware, poiché una coalizione internazionale di forze dell’ordine, guidata dalla National Crime Agency (NCA), ha efficacemente smantellato l’infrastruttura e le operazioni del ransomware LockBit durante un’operazione nota come “Cronos”.
Questo successo è stato ulteriormente amplificato dal fatto che gli strumenti per decodificare i file cifrati dal ransomware LockBit sono stati resi disponibili sul portale del progetto NoMoreRansom.
Tuttavia, nonostante questo importante progresso, in questi giorni è in corso una massiccia campagna per diffondere il ransomware LockBit 3.0, anche conosciuto come LockBit Black, in diversi paesi europei, compresa l’Italia. Ciò ha scatenato l’allarme, in quanto l’email di diffusione, con oggetto relativo a documenti e redatta in inglese, è inviata indiscriminatamente a enti pubblici e privati. Il pericolo si nasconde nell’allegato: un file ZIP contenente un eseguibile SCR.
Ciò che rende questa campagna particolarmente preoccupante è il metodo di diffusione tramite email, un approccio insolito considerando che di solito le organizzazioni ransomware acquistano gli accessi ai target direttamente da intermediari. Ancora più insolito è il fatto che questa campagna si svolga a quasi tre mesi dallo smantellamento dell’infrastruttura LockBit durante l’operazione Cronos, diffondendo una versione di Lockbit ben nota ai più comuni antivirus.
Questo solleva domande sul possibile movente dietro la diffusione di LockBit tramite email, soprattutto considerando che i riferimenti onion nella nota di riscatto non sono più accessibili, rendendo virtualmente impossibile monetizzare attraverso il riscatto. È probabile che l’obiettivo sia puramente distruttivo.
Al fine di contrastare questa campagna dannosa, il CERT-AgID ha riportato gli Indicatori di Compromissione (IoC) rilevati, già condivisi con le Pubbliche Amministrazioni accreditate al Flusso IoC.
https://cert-agid.gov.it/news/ransomware-lockbit-anomalie-dopo-lo-smantellamento/