Come Funziona Il Ransomware LockBit?
Decrittazione E Recupero Dati

Scopri come funziona e si propaga il ransomware LockBit. Come si
procede all'eliminazione, decrittazione e recupero dei dati.
Cos’è il ransomware LockBit?
LockBit è un ransomware che rientra nella categoria dei RaaS, ovvero
ransomware as a service.
Nello specifico si tratta di un cryptovirus della famiglia di Cryptolocker
ideato allo scopo di sottrarre alle vittime i dati sensibili che vengono
restituiti solo dopo il pagamento del riscatto.
Noto anche come virus ABCD, ha iniziato a diffondersi dal settembre del
2019.
Si tratta di un ransomware che colpisce le imprese piuttosto che i privati.
Uno dei più recenti e disastrosi attacchi del ransomware LockBit è stato
sferrato lo scorso anno ai danni di Accenture, il colosso irlandese della
consulenza strategica e direzionale.
Come riporta l’indagine condotta da Palo Alto Networks' Unit 42, la variante
di LockBit 2.0 ha il numero più significativo di vittime note: ben 850.

Questa cifra, tuttavia, non tiene conto di numerosissimi aziende e privati
che non rendono pubblici gli attacchi ransomware per non compromettere
l’immagine.
Di fatto, sui siti del gruppo hacker circolano numeri ben maggiori, per un
totale di 12.125 vittime.
Definizione LockBit
Essendo un ransomware, LockBit rientra nella categoria dei malware.
È responsabile di quei tipi di cyber attacchi che hanno come obiettivo
l’estorsione di denaro.
Dopo aver avuto accesso al computer, questo software malevolo
crittografa i file rendendoli inutilizzabili.

LockBit 2.0 ransomware
Dopo il cambio di nome avvenuto nel luglio 2021, a breve distanza il
gruppo di hacker responsabile di LockBit rilascia una nuova estensione.
Il nuovo malware potenzia alcune delle caratteristiche del suo
predecessore per sferrare attacchi più efficaci.
Data la pericolosità di LockBit 2.0, l’FBI ha rilasciato, a principio del 2022,
un documento che mette in guardia sulle potenzialità di questo
ransomware:
“LockBit 2.0 è meglio descritta come un'applicazione ransomware
pesantemente offuscata che sfrutta le operazioni bit a bit per decodificare
le stringhe e caricare i moduli necessari per eludere il rilevamento.
All'avvio, LockBit 2.0 decodifica le stringhe e il codice necessari per
importare i moduli richiesti [...]. All'inizio dell'infezione, Lockbit 2.0 elimina i
file di registro e le copie shadow che risiedono sul disco.”
Una volta installato sul dispositivo, la versione LockBit 2.0 crittografa tutti i
file salvati su disco locale e in remoto, ma evita quelli associati alle funzioni
principali del sistema.
Quando ha completato le sue azioni, si elimina dal dispositivo e attiva il
modulo di persistenza all’avvio del PC.
Gruppo di LockBit ransomware
LockBit appartiene al gruppo dei crypto ransomware.
Un altro esempio di questa categoria di virus è il ransomware Sodinokibi.

I crypto ransomware sono la più comune tipologia di ransomware:
all’inizio della loro diffusione attaccavano i dispositivi tramite applicazioni di
messaggistica istantanea.
Ad oggi i metodi di attacco includono molte più strategie, ma lo scopo è
sempre quello di crittografare i file della vittima.
Il più famoso ransomware di questa famiglia è CryptoLocker che, da
quando è apparso sulla scena, ha rivoluzionato il mondo dei crimini
informatici.
Come riportato da PurpleSec, nel 2021, la variante di CryptoLocker
denominata Poenix, si confermava la terza per portata di fatturato, con 55
milioni di dollari.
La precedono Conti ($ 175 milioni) e DarkSide ($ 80 milioni).

Come funziona il ransomware LockBit?
LockBit è un ransomware che agisce in maniera mirata.
A differenza di molti altri ransomware che agiscono tramite campagne di
spam, questo studia e sceglie le sue vittime per colpirle.
La sua logica di funzionamento verte su determinati step in rapida
successione:
● Blocco delle operazioni di routine svolte dal PC;
● Sottrazione di dati sensibili rilevanti;
● Tentativo di estorsione di una somma di denaro.
L’ultimo punto è tipico di tutti i ransomware: gli hacker chiedono un riscatto
in cambio della chiave di decrittazione che permette il ripristino del
sistema operativo dei pc infetti.
Qualora l’azienda decidesse di non pagare, i criminali minacciano di
pubblicare online tutti i file, soprattutto quelli sensibili.
L’evoluzione di questo virus, LockBit 2.0, è un ransomware che infetta il pc
anche tramite campagne di phishing.
Come si propaga il ransomware LockBit?
Le modalità con cui si propaga il ransomware LockBit sono grossomodo
sempre le stesse.
I suoi obiettivi sono tendenzialmente aziende di medie e grandi
dimensioni.

Secondo i dati raccolti da Trend Micro, i settori maggiormente attaccati
sono quelli della sanità, dell’educazione e della tecnologia.
I numeri si riferiscono al periodo tra l’1 luglio 2021 e il 20 gennaio 2022, e
fanno riferimento alle minacce rilevate dal software dell’organizzazione.
In questo modo gli attacchi mirati si convertono in attacchi a catena: una
volta entrato nella rete, LockBit infetta tutti i dispositivi ad essa collegati.
Una volta che si propaga l’infezione, questo ransomware è in grado di
criptare qualsiasi sistema informatico accessibile tramite una rete.
Nel caso delle aziende prese di mira da questi attacchi ransomware, prima
vengono infettati gli host.
In seguito, LockBit riesce a riconoscerne altri simili e, dopo averli
connessi, l’infezione si propaga mediante uno script.

Tutto avviene in maniera automatica, senza che sia necessario alcun
intervento di natura umana per innescare l’attacco.
Per centrare appieno i loro obiettivi, gli hacker che si servono di LockBit
ricorrono a tool predefiniti, come Windows Powershell e Server Message
Block (SMB).
Chi utilizza LockBit?
Il gruppo di criminali dietro a LockBit ha base in Est Europa ed è filorussa.
Come nel caso di altri RaaS, gli affiliati trattengono dal 70% all'80% dei
proventi degli attacchi, mentre la restante parte viene mantenuta dagli
sviluppatori di LockBit.
Recentemente è stata lanciata una sorta di call to action per reclutare nuovi
affiliati, il primo programma per ricompensare dei bug.
L’obiettivo è soprattutto scoprire le vulnerabilità del virus, in modo da
risolverle e renderlo più efficace.
A partire dal febbraio del 2020, LockBit ha rivelato al mondo intero quanto
sia pericoloso questo ransomware.
Un report prodotto dall’Interpol conferma questo dato spiegando che
durante la prima fase della pandemia, nel continente americano è stata
condotta una campagna di ransomware massiva proprio attraverso
LockBit.
Questo si indirizzava soprattutto ad aziende di medie dimensioni.

All’interno di tali organizzazioni gli hacker trovano il target perfetto per i loro
attacchi: si tratta in generale di aziende che non possono permettersi
un’interruzione dei servizi e quindi pagano subito il riscatto.
Nel mese di maggio del 2022, secondo quanto riporta un’analisi condotta
da NCC Group, LockBit è stato il ransomware più diffuso.
LockBit è stato responsabile del 40% di attacchi di quel mese, seguito da
Conti.
Fasi dell’attacco di LockBit
Le TTPs (tecniche, tattiche e procedure) messe a punto per colpire le
vittime sono molteplici.
In generale, però, si possono identificare delle fasi ricorrenti nell’attacco del
ransomware LockBit:

● Exploit: il ransomware sfrutta le credenziali utilizzate più volte su
diverse piattaforme o le vulnerabilità come ProxyShell;
● Esecuzione: attraverso azioni pianificate, LockBit viene eseguito
tramite righe di comando eseguite in una finestra nascosta;
● Persistenza: gli account compromessi possono essere utilizzati per
mantenere l’accesso alla rete o, in rari casi, vengono creati account
appositamente per questo scopo;
● Escalation dei privilegi: LockBit forza i privilegi delle applicazioni,
ignorando i controlli dell’utente;
● Evasione della difesa: per evitare di attirare l’attenzione della vittima
e svolgere indisturbato il suo attacco, questo ransomware utilizza
finestra nascoste e disabilita il software anti ransomware;
● Esfiltrazione: in alcuni casi, LockBit 2.0 limiterà le dimensioni del
trasferimento dei dati per sfuggire al radar di qualsiasi servizio di
monitoraggio che un utente potrebbe aver impostato;
● Impatto finale: a questo punto i dati sono stati crittografati e i
criminali chiedono un riscatto per inviare la chiave di crittografia.
Di seguito si prenderanno in considerazione le fasi salienti dell’attacco.
Exploit
Nella prima fase dell'attacco, LockBit va a scandagliare la rete con
l’intento di verificare la presenza di eventuali punti deboli.
In generale, gli attacchi ransomware fanno uso del social engineering per
infettare le organizzazioni.

Tuttavia, come dimostra il rapporto redatto da Proofpoint, il 95% delle
organizzazioni viene infettata tramite attacchi di forza bruta.
Di questi, nel 32% dei casi gli hacker sono riusciti a compromettere i
server cloud che ospitavano i dati.
Con LockBit gli hacker forzano il Remote Desktop Protocol (RDP) che
consente di connetterti, accedere e controllare i dati su un host remoto ma
come se lo stessi facendo a livello locale.
Per sferrare gli attacchi vengono sfruttate soprattutto le applicazioni
pubbliche come ProxyShell e Windows SysInternals PsExec, utilizzato sia
in fase di esecuzione che di persistenza.
Infiltrazione
Quando l’hacker entra tramite ProxyShell, le webshell diventano un
comodo punto di accesso.

LockBit 2.0 tende ad utilizzare uno strumento di bypass del Controllo
Account Utente (UAC) di Windows.
Sulla pagina di Microsoft dedicata all’argomento, l’UAC viene descritto
come:
“Una componente fondamentale della visione generale sulla sicurezza di
Microsoft. Controllo dell'account utente consente di ridurre l'impatto del
malware.”
Questo strumento, infatti, permette all’utente di gestire il consenso per
l’accesso da amministratore alle varie applicazioni che si eseguono sul PC.
Se si riesce a forzare questo token, l’utente non ha il controllo sulle attività
del suo dispositivo e l’hacker ha accesso a tutte le informazioni.
A partire da questo momento, LockBit comincia ad agire con l’autonomia
più assoluta.
Il reale scopo di questa seconda fase è ostacolare o impedire il ripristino
automatico del sistema.
In primo luogo, quindi, si procede alla disattivazione di tutti i programmi di
sicurezza, a partire dagli antivirus.
Si fa leva sulla preoccupazione delle vittime che o si arrendono e pagano il
riscatto oppure vedono finire online dati sensibili e essenziali per l’azienda.
Quasi tutte le vittime, volendo a tutti i costi ripristinare file criptati,
riportandolo alla normalità il sistema operativo, si dimostrano propensi a
pagare.

HelpRansomware invece, sottolinea come sia di vitale importanza non
pagare il riscatto.
Molti criminali non consegnano la chiave di decrittazione dopo il
pagamento, quindi non risolveresti il problema e ti mostreresti soltanto
come un bersaglio facile.
Implementazione
Nella terza e ultima fase, l’implementazione, nota anche come infiltrate
deployment, si verifica il payload di criptaggio.
L’apice della pericolosità del cryptovirus in questione si riscontra proprio in
questa fase.
Tutti i pc dell’azienda vengono raggiunti e infettati, e da lì si passa ad
attaccare tutti i dispositivi connessi alla rete.
Una volta eseguito, LockBit blocca tutti i file di sistema e, all’interno di
ogni cartella viene rilasciato un documento che contiene la richiesta di
riscatto.
Per uscire da questa situazione di impasse, è necessario l’inserimento di
una chiave di decrittazione personalizzata.
Ricorda: non cedere al ricatto, non pagare il riscatto!
Secondo il report annuale redatto da Veeam, il 48% delle aziende che ha
subito un attacco ransomware non è stata in grado di recuperare i dati.

Contatta gli specialisti di HelpRansomware prima che sia troppo tardi: il
team è specializzato in eliminazione di ransomware e recupero di dati
crittografati.
Tipi di minaccia da LockBit
Per ogni famiglia di malware esistono diversi tipi di ransomware e questo
vale anche per LockBit.
Da quando è stato creato, questo ransomware ha subito varie modifiche al
suo codice.
Tale procedimento è del tutto naturale ed è dovuto al fatto che in
concomitanza con l’evoluzione dei ransomware, evolvono anche gli
strumenti di decrittazione ransomware.

I gruppi di hacker, quindi, per non perdere profitti e continuare ad attaccare
le vittime estorcendo denaro, modificano le stringhe sorgente del virus per
sfuggire ai controlli.
Estensione .abcd
Prima di cambiare nome in LockBit, questo ransomware si mostrava con
l’estensione “.abcd”.
Una volta infettato il PC o dispositivo, questa prima versione di LockBit
crittografava tutti i documenti e file presenti sul disco aggiungendovi
l’estensione .abcd.
Solo in questo modo la vittima poteva accorgersi dell’attacco, oltre alla nota
di riscatto che il virus rilasciava all’interno di ogni cartella di file.
Inoltre, il virus eliminava i dati dell'utente, i backup e le copie shadow.

In principio non si sapeva quale gruppo di criminali si nascondesse dietro
questo ransomware.
Quello che è certo è che sin da subito il virus ha dimostrato la sua
pericolosità: grandi aziende colpite da ransomware in tutto il mondo, ma le
versioni successive sono diventate di volta in volta più sofisticate.
Estensione .LockBit
Nella sua seconda versione questo ransomware aggiunge un’estensione
che rivela il suo nome: “.LockBit”.
Rispetto alla precedente variante, LockBit registra alcune modifiche nella
gestione delle applicazione da back-end.
In questo caso, per la richiesta del riscatto il ransomware non richiede di
scaricare il browser Tor, ma indirizza le vittime ad un sito web alternativo
tramite il tradizionale accesso internet.
La seconda versione di LockBit entra nel dispositivo forzando le
autorizzazioni amministrative delle applicazioni.
Disabilitando gli avvisi di sicurezza dell’UAC, le applicazioni possono
essere eseguite come amministratore anche senza il permesso dell’utente.

Inoltre, questo ransomware può essere responsabile anche di una doppia
estorsione.
Siccome il virus copia tutti i file della vittima, nel caso non venga pagato il
riscatto, questa riceve la minaccia di vedere pubblicati online tutti i dati
personali.
.LockBit versione 3.0
Recentemente è stata diffusa una nuova versione del ransomware
chiamata LockBit 3.0.
Questa variante crittografa i file sul computer della vittima aggiungendo ad
ogni file l'estensione “HLJkNskOq”.
Il ransomware decritta le stringhe e i codici durante l’esecuzione del
dispositivo e poi crea un mutex che permette di stabilire in che momento
sferrare l’attacco.

Inoltre crea più thread per eseguire diverse attività in contemporanea, in
modo da crittografare i file più rapidamente.
Per ottenere l’accesso al database del gestore del controllo dei servizi ed
eliminarli, LockBit 3.0 rinomina l’API (Application Programming Interface)
“OpenSCManagerA()”.
Come ultima azione il ransomware cambia lo sfondo del dispositivo con
un’immagine nella quale si spiega come procedere per decriptare file
ransomware e pagare il riscatto.
Nella schermata si legge che gli hacker diffonderanno i dati personali
della vittima nel caso non seguirà le indicazioni nel tempo indicato.

Eliminazione e decrittazione di LockBit
Se sei stato vittima di un attacco ransomware LockBit, la parola chiave è
tempestività.
Occorre agire in maniera rapida nell’ottica di poter recuperare dati
crittografati dal pc o da un altro dispositivo colpito da questo cryptovirus.
L’eliminazione di LockBit 2.0 non è un processo semplice proprio per la
capacità di penetrazione del virus.
Questo ransomware può essere difficile da sradicare perché può
nascondersi in file, collegamenti o impostazioni che sono già installati sul
tuo computer.
Innanzitutto devi dotarti di un buon anti malware e anti-ransomware che sia
capace di scovare tutte le tracce di LockBit.
Il modo migliore e più sicuro per rimuovere ransomware è utilizzare un
potente strumento di rimozione automatica che ti fa risparmiare tempo e
fatica.
Si può decriptare LockBit?
Come ogni minaccia di natura ransomware, a essere presi di mira sono i
dati sensibili, mediante uno specifico algoritmo di crittografia.
Questi vengono tenuti bloccati sino a quando non viene pagato il riscatto
della somma richiesta.

Alla fine, il software malevolo genera un file di testo, denominato
Restore-My-Files.txt.
Il file contiene tutti gli step che la vittima deve seguire per riuscire a
decriptare LockBit.
I malintenzionati vanno contattati via posta elettronica affinché possano
inviare tutta la procedura volta a ripristinare i file criptati.
Per convincere la vittima, gli hacker si mostrano disponibili a sbloccare dei
file a mo’ di esempio.
Non farti ingannare: non pagare il riscatto!
Nella maggior parte dei casi, né il pagamento del riscatto, né l’utilizzo di
strumenti di decriptazione servono per aprire file criptati.
Allo stesso modo, non è sufficiente eliminare il ransomware dal dispositivo:
anche riuscendo a togliere LockBit dal tuo PC non potrai recuperare i tuoi
dati.
Si può decriptare LockBit 2.0?
LockBit 2.0 e la sua versione successiva LockBit 3.0 sono più aggressive
delle precedenti.
Se sei stato attaccato da questo ransomware, la cosa migliore è rivolgersi
a degli specialisti poiché non è ancora stato creato uno strumento di
decrittazione.

HelpRansomware ti propone soluzioni efficaci a seconda del virus, con la
garanzia di eliminare il ransomware dal tuo dispositivo e di ripristinare
tutti i file danneggiati.
Il primo passo resta quello di eliminare la minaccia dal dispositivo, poi
potresti provare a ripristinare i tuoi dati tramite il recupero del backup.
Una cosa da non fare assolutamente, invece, è ripristinare il sistema o
formattare il PC, perché così perderai ogni possibilità di recuperare i dati.
Come recuperare i dati di LockBit ransomware
La procedura per il ripristino dei file crittografati dipende dal tipo di sistema
attivo sul tuo dispositivo, ma le procedure si assomigliano.
Quanto leggerai di seguito serve soltanto se hai realizzato un backup dei
dati del tuo dispositivo.
Se non hai realizzato nessun backup, non c’è un modo per riuscire a
rimuovere ransomware e decriptare file in maniera automatica.
Nel primo step, nel caso di Windows 7 e di Windows XP, si procede
all’avvio del computer in modalità provvisoria:
● Clicca sul pulsante di “Start” e premi il tasto F8 in maniera ripetitiva
finché non apparirà sullo schermo il menù “Opzione avanzata di
Windows”;
● Seleziona dalla lista “Modalità provvisoria con rete”.

Con Windows 8 e 10, la procedura è piuttosto simile, a dovrai cliccare
ripetutamente F5.
Qualora non si potesse avviare il pc in modalità provvisoria con rete, è il
caso di optare per il ripristino della configurazione di sistema.

In questo modo ti sarà possibile recuperare i file salvati dall’ultimo backup.
Come proteggersi dal ransomware LockBit?
Nel caso dei ransomware, la prevenzione è la migliore difesa.
Avere un piano di protezione ben definito contro questa minaccia, non
solo limita le possibilità di essere attaccati, ma riduce anche i danni
nell’eventualità in cui l’attacco vada a buon fine.
Per proteggerti dal ransomware LockBit segui questi suggerimenti:
● Inserisci password alfanumeriche complesse e aggiornale di
continuo;
● Utilizza l’autenticazione a più fattori;
● Chiedi l’autorizzazione degli account utente;
● Limita la concessione di privilegi di amministratore allo svolgimento
di specifiche attività;
● Mantieni gli account attivi, account dadati o inattivi costituiscono
un’ottima opportunità per gli hacker;
● Tieni sempre aggiornate applicazioni che utilizzi;
● Ricorri a backup periodici per avere i tuoi dati salvati sia online che
offline: hard disk e altre periferiche esterne sono fondamentali;
● Segmenta le reti in modo che i dati sensibili non siano concentrati su
un unico dispositivo.
L’ultimo report redatto da Entrust dimostra l’importanza di una strategia di
protezione dei dati che includa anche la crittografia dei file da parte
dall’azienda.

Il 62% degli intervistati ammette che la propria azienda ha un piano di
crittografia che si applica a tutta l’azienda.
A questo si collega anche un ulteriore aspetto che le aziende non devono
mai sottovalutare, ovvero la formazione del personale.
Cosa devo fare se i miei dati vengono crittografati da
LockBit?
Se sei stato attaccato da LockBit devi sapere che ancora non è stato
rilasciato un tool capace di decrittare i file.
Ciononostante, ci sono degli step che puoi compiere:
● Fai uno screenshot della richiesta di riscatto, ti sarà utile per
identificare il tipo di ransomware che ti ha attaccato;
● Denuncia il crimine alle autorità competenti,

● Disconnetti il dispositivo dalla rete: ciò impedire al virus di diffondersi
ad altri dispositivi collegati;
● Spegni il dispositivo: anche se LockBit potrebbe continuare a
crittografare i dati in background, questo passo riduce le possibilità;
● Non comunicare con gli hacker;
● Rivolgiti immediatamente a degli specialisti.
L’ultimo punto è la chiave di tutto: contatta HelpRansomware per usufruire
dei suoi servizi di decrittazione e recupero dati.
Conclusioni
Cadere vittima di un attacco ransomware è più semplice di quanto
sembri.
Nella seguente guida ti abbiamo spiegato come puoi proteggerti dal
ransomware LockBit e queste sono le conclusioni che puoi trarre:
● LockBit è un ransomware cryptovirus che rientra nella categoria dei
RaaS (ransomware as a service);
● La variante di LockBit 2.0 ha il numero più significativo di vittime
note, ben 850;
● Nel 2021, la variante di CryptoLocker Poenix si confermava la terza
per portata di fatturato, con 55 milioni di dollari;
● I settori maggiormente attaccati da LockBit sono quelli della sanità,
dell’educazione e della tecnologia;

● Le fasi principali dell’attacco da LockBit sono l’exploit, l’infiltrazione
e l’implementazione;
● Esistono diverse varianti di LockBit, ognuna più pericolosa e letale
della precedente;
● È fondamentale che le aziende abbiano una strategia di protezione
dei dati che includa anche la crittografia dei file.
Per quanto riguarda la decrittazione dei file criptati da LockBit, si tratta
di un processo molto difficile perché non esistono tool automatici.
L’opzione migliore in questo e in ogni altro caso è rivolgerti a degli
specialisti.
Il team di HelpRansomware è esperto nell’identificazione ed eliminazione
del ransomware e nella decrittazione dei file infetti.