Lockbit Piergiorgio Venuti

Introduzione a Lockbit e all’IOC (Indicator of Compromise)

Estimated reading time: 9 minuti

Lockbit è un malware noto che si diffonde attraverso l’uso di exploit kit e phishing. Questo malware viene utilizzato principalmente per eseguire attacchi ransomware, che consistono nel cifrare i dati degli utenti e richiedere un riscatto per decifrarli. Lockbit è stato identificato per la prima volta all’inizio del 2020 e da allora ha continuato a evolversi e a diffondersi a livello globale.

Un Indicator of Compromise (IOC) è un segnale o una traccia che indica che un sistema è stato compromesso da un malware come Lockbit. Gli IOC possono essere informazioni sulle attività di rete, sui file sul disco rigido o sull’uso del registro di sistema.

Versioni di Lockbit

Dall’identificazione di Lockbit, sono state rilasciate diverse versioni del malware, ciascuna con nuove funzionalità e miglioramenti. Ecco una breve descrizione delle principali versioni di Lockbit:

  • Lockbit v1: questa è stata la prima versione di Lockbit identificata. Questa versione del malware utilizzava exploit kit per diffondersi e cifrare i file degli utenti;
  • Lockbit v2: questa versione ha introdotto la capacità di eseguire attacchi di phishing per diffondere il malware. Inoltre, questa versione del malware è stata ottimizzata per evitare la rilevazione da parte dei software antivirus;
  • Lockbit v3: questa versione ha introdotto nuove tecniche di evasione e nuove capacità di attacco, tra cui la capacità di diffondersi tramite e-mail di phishing e la capacità di cifrare anche i backup dei dati;
  • Lockbit v4: questa è la versione più recente di Lockbit e include tutte le funzionalità delle versioni precedenti, oltre a nuove tecniche di attacco e di diffusione.

Indicatori di compromissione di Lockbit

Lockbit ransomware

Gli indicatori di compromissione (IOC) di Lockbit possono aiutare i professionisti della sicurezza informatica a identificare rapidamente la presenza del malware e prendere le misure necessarie per rimuoverlo. Ecco alcuni dei principali IOC di Lockbit:

  • Modifiche al registro di sistema: Lockbit modifica spesso il registro di sistema per evitare la rilevazione da parte dei software antivirus e facilitare la diffusione del malware.
  • File cifrati: uno dei principali segni della presenza di Lockbit è la presenza di file cifrati sul sistema compromesso. Questi file hanno estensioni modificate e sono inaccessibili a causa della cifratura.
  • File di riscatto: Lockbit lascia spesso un file di riscatto sul sistema compromesso, che spiega come decifrare i file cifrati e richiede un pagamento in cambio della decifratura.
  • Attività di rete anomale: Lockbit comunica spesso con server remoti per ottenere istruzioni o trasmettere informazioni sul sistema compromesso. Queste attività di rete possono essere identificate come anomale dai professionisti della sicurezza informatica.
  • File di installazione del malware: Lockbit viene spesso distribuito insieme a file di installazione del malware, che possono essere rilevati dai software antivirus.

Come proteggersi da Lockbit

Per proteggersi da Lockbit e da altri malware simili, è importante seguire alcune semplici misure di sicurezza:

  • Mantenere il software antivirus aggiornato: utilizzare un software antivirus aggiornato è essenziale per proteggere il sistema da Lockbit e da altri malware.
  • Fare attenzione alle e-mail di phishing: Lockbit viene spesso diffuso tramite e-mail di phishing. Fare attenzione alle e-mail sospette e non aprire allegati o link da fonti sconosciute.
  • Mantenere i software di sistema e le applicazioni aggiornate: le vulnerabilità del software sono spesso sfruttate da malware come Lockbit. Mantenere il software di sistema e le applicazioni aggiornate può aiutare a prevenire gli attacchi.
  • Eseguire backup regolari: eseguire backup regolari dei dati può aiutare a recuperare i file in caso di attacco da parte di Lockbit o di altri malware.

Modifiche alle chiavi di registro da parte di Lockbit

Le chiavi di registro possono essere modificate da Lockbit per permettergli di persistere sul sistema e lanciarsi all’avvio del sistema. Ecco alcune delle modifiche alle chiavi di registro che possono essere causate da Lockbit:

  • Chiave di avvio: Lockbit può aggiungere una chiave di avvio al registro di sistema per lanciarsi all’avvio del sistema. La chiave di avvio originaria può essere:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

mentre la chiave di avvio modificata da Lockbit può essere:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Lockbit
  • Chiave di disinstallazione: Lockbit può anche modificare la chiave di disinstallazione per impedire che venga disinstallato o rimosso. La chiave di disinstallazione originaria può essere:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall

mentre la chiave di disinstallazione modificata da Lockbit può essere:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Lockbit

È importante notare che queste sono solo alcune delle possibili modifiche alle chiavi di registro che possono essere causate da Lockbit. Per identificare tutte le modifiche, è consigliabile eseguire un’analisi del registro di sistema completa.

Inoltre, è fondamentale effettuare un backup del registro di sistema prima di apportare eventuali modifiche, in modo da poter ripristinare eventuali valori originali in caso di errore.

Come un Servizio SOCaaS può aiutare ad identificare e rispondere a Lockbit

Un Servizio di Sicurezza Operativa su Cloud (SOCaaS) può essere un alleato prezioso nella lotta contro gli attacchi Ransomware come Lockbit. Questo servizio fornisce una soluzione completa per la gestione della sicurezza informatica, compreso l’identificazione, la risposta e la prevenzione degli attacchi. Ecco come un SOCaaS può aiutare a gestire un attacco Lockbit:

  • Identificazione precoce: Un SOCaaS utilizza tecnologie avanzate come l’Intelligence Artificiale e il Machine Learning per rilevare attività sospette sulle reti aziendali. Questo permette di identificare gli attacchi Lockbit in modo tempestivo, prima che il ransomware abbia la possibilità di crittografare i file e causare danni irreparabili.
  • Analisi della minaccia: Una volta identificato l’attacco Lockbit, un SOCaaS può analizzare la minaccia per determinare la sua origine, la sua diffusione e la sua intensità. Questo aiuta a determinare la gravità dell’attacco e a sviluppare un piano di risposta adeguato.
  • Risposta coordinata: Un SOCaaS fornisce un’equipe di esperti di sicurezza informatica che lavorano insieme per rispondere rapidamente agli attacchi Lockbit. Questi esperti utilizzano tecniche avanzate per mitigare la minaccia, ripristinare i file crittografati e proteggere la rete aziendale da eventuali future minacce.
  • Prevenzione futura: Una volta che l’attacco Lockbit è stato gestito, un SOCaaS può aiutare a prevenire futuri attacchi simili. Questo può essere fatto tramite la formazione dei dipendenti, la revisione e il miglioramento delle politiche di sicurezza, l’implementazione di tecnologie avanzate come l’Intelligence Artificiale e il Machine Learning, e l’effettuazione di test di penetrazione per identificare eventuali vulnerabilità.

In sintesi, un Servizio SOCaaS può aiutare a identificare e gestire gli attacchi Lockbit in modo tempestivo e coordinato, fornendo una soluzione completa per la sicurezza informatica dell’azienda.

Come un Servizio SOC con EDR può aiutare ad identificare e rispondere a Lockbit

Un Servizio di Sicurezza Operativa (SOC) con Endpoint Detection and Response (EDR) può essere una soluzione potente per la gestione degli attacchi Ransomware come Lockbit. L’EDR fornisce una protezione avanzata degli endpoint, ovvero i dispositivi utilizzati da dipendenti e clienti per accedere alla rete aziendale. Ecco come un SOC con EDR può aiutare a gestire un attacco Lockbit:

  • Protezione degli endpoint: L’EDR monitora costantemente gli endpoint per rilevare eventuali attività sospette o minacce. In caso di rilevamento di un attacco Lockbit, l’EDR blocca immediatamente la minaccia, impedendo al ransomware di diffondersi ulteriormente nella rete aziendale.
  • Analisi dettagliata: L’EDR fornisce informazioni dettagliate sull’attacco Lockbit, inclusi l’origine, la diffusione e la gravità della minaccia. Queste informazioni aiutano a sviluppare un piano di risposta adeguato e a determinare la necessità di eventuali ulteriori misure di sicurezza.
  • Risposta rapida: In caso di attacco Lockbit, l’EDR fornisce una risposta rapida, utilizzando tecniche avanzate per mitigare la minaccia e proteggere gli endpoint dai danni. Questo aiuta a limitare i danni causati dal ransomware e a ripristinare il più rapidamente possibile i file crittografati.
  • Prevenzione futura: Una volta che l’attacco Lockbit è stato gestito, l’EDR fornisce una protezione continua per prevenire futuri attacchi simili. Questo può essere fatto tramite la formazione dei dipendenti, l’implementazione di politiche di sicurezza rigorose e l’utilizzo di tecnologie avanzate per identificare e prevenire eventuali minacce.

In sintesi, un Servizio SOC con EDR può aiutare a identificare e gestire gli attacchi Lockbit, fornendo una protezione avanzata per gli endpoint e una risposta rapida in caso di attacco. Questo aiuta a proteggere la rete aziendale e a prevenire futuri danni causati da ransomware come Lockbit.

Come un Servizio di Penetration Testing può aiutare ad identificare e rispondere a Lockbit

Un servizio di Penetration Testing può essere una soluzione efficace per identificare e rispondere a un attacco Ransomware come Lockbit. Questo servizio consiste nell’eseguire una simulazione di un attacco informatico sulla rete aziendale, al fine di identificare eventuali vulnerabilità che potrebbero essere sfruttate da un hacker o da un ransomware come Lockbit. Ecco come un servizio di Penetration Testing può aiutare a gestire questi tipo di problema

  • Identificazione delle vulnerabilità: Il servizio di Penetration Testing identifica eventuali vulnerabilità presenti nella rete aziendale, che potrebbero essere sfruttate da un ransomware. Questo aiuta a prevenire futuri attacchi e a proteggere la rete aziendale.
  • Verifica della sicurezza: Il servizio di Penetration Testing verifica l’efficacia delle soluzioni di sicurezza già in essere, al fine di garantire che siano adeguate a proteggere la rete aziendale da eventuali attacchi. In caso contrario, vengono identificate eventuali soluzioni da implementare per aumentare la sicurezza della rete.
  • Valutazione del rischio: Il servizio di Penetration Testing valuta il rischio potenziale per la rete aziendale in caso di attacco, al fine di determinare la necessità di eventuali misure di sicurezza supplementari.
  • Formazione del personale: Il servizio di Penetration Testing include anche la formazione del personale, al fine di garantire che tutti i dipendenti siano consapevoli delle minacce informatiche e sappiano come prevenirle. Questo aiuta a proteggere la rete aziendale da eventuali attacchi futuri.

In sintesi, un servizio di Penetration Testing può aiutare a identificare e gestire gli attacchi Lockbit, fornendo una valutazione del rischio e delle soluzioni di sicurezza già in essere, al fine di proteggere la rete aziendale da eventuali attacchi futuri. Questo servizio aiuta anche a formare il personale per prevenire futuri attacchi e a garantire la sicurezza della rete aziendale.

Rapporto FBI sugli Indicatori di Compromissione di Lockbit

Il Federal Bureau of Investigation (FBI) ha pubblicato un rapporto sugli Indicatori di Compromissione (IOC) di Lockbit, un ransomware che sta causando danni a molte aziende. Il rapporto fornisce informazioni dettagliate su come identificare se la tua azienda è stata attaccata da Lockbit e su come gestire l’attacco. Ecco alcune informazioni cruciali presenti nel rapporto FBI sugli IOC di Lockbit:

  • Identificazione dei file cifrati: Il rapporto descrive come identificare i file cifrati da Lockbit, che sono solitamente contraddistinti da un’estensione specifica, ad esempio .lockbit.
  • Modifiche alle chiavi di registro: Il rapporto descrive come il ransomware modifica le chiavi di registro del sistema operativo, al fine di impedire l’avvio di alcune applicazioni. Il rapporto fornisce informazioni dettagliate sui valori originari e quelli modificati dal ransomware.
  • Comportamento di rete: Il rapporto descrive il comportamento di rete di Lockbit, che include la comunicazione con un server C&C (Command & Control) per la trasmissione di informazioni sulle vittime e la ricezione di istruzioni da parte del malware.
  • Strumenti di rimozione: Il rapporto descrive gli strumenti di rimozione disponibili per gestire un’infezione da Lockbit, al fine di recuperare i file cifrati e ripristinare il sistema operativo.

In sintesi, il rapporto FBI sugli IOC di Lockbit fornisce informazioni cruciali per identificare e gestire un attacco da parte di questo pericoloso ransomware. Queste informazioni possono essere utilizzate dalle aziende per prevenire futuri attacchi e proteggere la loro rete aziendale.

Conclusioni

Lockbit è un malware noto che si diffonde attraverso exploit kit e phishing. Gli indicatori di compromissione possono aiutare i professionisti della sicurezza informatica a identificare la presenza del malware e prendere le misure necessarie per rimuoverlo. Per proteggersi da Lockbit e da altri malware simili, è importante seguire semplici misure di sicurezza come mantenere il software antivirus aggiornato, fare attenzione alle e-mail di phishing e eseguire backup regolari dei dati.

Contattaci

Useful links:

Condividi


RSS

RSS feed

Piu’ articoli…

Categorie …

Tags

Acronis Acronis Active Protection Acronis backup Acronis Cloud Backup Acronis Cyber Cloud BaaS Backup Backup as a Service Cloud Conference cloud server cyber security cyber threat Cyber Threat Hunter Dati aziendali EDR GDPR Machine Learning Monitoraggio infrastruttura ICT Next Generation SIEM nextgen siem Nuovo Regolamento Europeo Privacy owncloud pentest Phishing Plesk privacy Ransomware Regolamento Europeo per la Protezione dei Dati server virtuale servizi cloud sicurezza sicurezza web siem Smart Working SOAR SOCaaS SOCaaS[EDR] template Threat intelligence UEBA VDS Virtual Machine vps vulnerability assessment Zabbix

RSS Feed sconosciuto

RSS Feed sconosciuto

RSS Full Disclosure

  • User Enumeration in IServ Schoolserver Web Login Settembre 11, 2025
    Posted by naphthalin via Fulldisclosure on Sep 10“I know where your children go to school.” The web front end of the IServ school server from IServ GmbH allows user enumeration. Responses during failed login attempts differ, depending on if the user account exists, does not exist and other conditions. While this does not pose a […]
  • Re: Apple’s A17 Pro Chip: Critical Flaw Causes Dual Subsystem Failure & Forensic Log Loss Settembre 11, 2025
    Posted by Matthew Fernandez on Sep 10Can you elaborate on why you consider this high severity? From the description, it sounds as if this behaviour is fail-closed. That is, the effects are limited to DoS, with security properties preserved.
  • Defense in depth -- the Microsoft way (part 92): more stupid blunders of Windows' File Explorer Settembre 8, 2025
    Posted by Stefan Kanthak via Fulldisclosure on Sep 08Hi @ll, this extends the two previous posts titled Defense in depth -- the Microsoft way (part 90): "Digital Signature" property sheet missing without "Read Extended Attributes" access permission and Defense in depth -- the Microsoft way (part 91): yet another 30 year old bug of the […]
  • Critical Security Report – Remote Code Execution via Persistent Discord WebRTC Automation Settembre 8, 2025
    Posted by Taylor Newsome on Sep 08Reporter: [Taylor Christian Newsome / SleepRaps () gmail com] Date: [8/21/2025] Target: Discord WebRTC / Voice Gateway API Severity: Critical 1. Executive Summary A proof-of-concept (PersistentRTC) demonstrates remote code execution (RCE) capability against Discord users. The PoC enables Arbitrary JavaScript execution in a victim’s browser context via WebRTC automation. […]
  • Submission of Critical Firmware Parameters – PCIe HCA Cards Settembre 8, 2025
    Posted by Taylor Newsome on Sep 08*To:* support () mellanox com, networking-support () nvidia com *From:* Taylor Christian Newsome *Date:* August 20, 2025 *Dear Mellanox/NVIDIA Networking Support Team,* I am writing to formally submit the critical firmware parameters for Mellanox PCI Express Host Channel Adapter (HCA) cards, as detailed in the official documentation available here: […]
  • SEC Consult SA-20250908-0 :: NFC Card Vulnerability Exploitation Leading to Free Top-Up in KioSoft "Stored Value" Unattended Payment Solution (Mifare) Settembre 8, 2025
    Posted by SEC Consult Vulnerability Lab via Fulldisclosure on Sep 08SEC Consult Vulnerability Lab Security Advisory < 20250908-0 > ======================================================================= title: NFC Card Vulnerability Exploitation Leading to Free Top-Up product: KioSoft "Stored Value" Unattended Payment Solution (Mifare) vulnerable version: Current firmware/hardware as of Q2/2025 fixed version: No version numbers available CVE number:...
  • FFmpeg 7.0+ Integer Overflow in FFmpeg cache: Protocol (CacheEntry::size) Settembre 8, 2025
    Posted by Ron E on Sep 08An integer overflow vulnerability exists in the FFmpeg cache: URL protocol implementation. The CacheEntry structure uses a 32-bit signed integer to store cache entry sizes (int size), but the cache layer can accumulate cached data exceeding 2 GB. Once entry->size grows beyond INT_MAX and new data is appended, an […]
  • FFmpeg 7.0+ Integer Overflow in DSCP Option Handling of FFmpeg UDP Protocol Settembre 8, 2025
    Posted by Ron E on Sep 08A vulnerability exists in the FFmpeg UDP protocol implementation ( libavformat/udp.c) where the dscp parameter is parsed from a URI and left-shifted without bounds checking. Supplying a maximum 32-bit signed integer (2147483647) triggers undefined behavior due to a left shift that exceeds the representable range of int. This results […]
  • FFmpeg 7.0+ Integer Overflow in UDP Protocol Handler (fifo_size option) Settembre 8, 2025
    Posted by Ron E on Sep 08A signed integer overflow exists in FFmpeg’s udp.c implementation when parsing the fifo_size option from a user-supplied UDP URL. The overflow occurs during multiplication, which is used to compute the size of the circular receive buffer. This can result in undefined behavior, allocation failures, or potentially memory corruption depending […]
  • FFmpeg 7.0+ LADSPA Filter Arbitrary Shared Object Loading via Unsanitized Environment Variables Settembre 8, 2025
    Posted by Ron E on Sep 08The ladspa audio filter implementation (libavfilter/af_ladspa.c) in FFmpeg allows unsanitized environment variables to influence dynamic library loading. Specifically, the filter uses getenv("LADSPA_PATH") and getenv("HOME") when resolving the plugin shared object (.so) name provided through the file option. These values are concatenated into a filesystem path and passed directly into […]

Customers

Newsletter

{subscription_form_2}
Prodotti e Soluzioni
Collaborazioni
Modelli Cloud
News
Recensioni Google
Secure Online Desktop s.r.l.
4.9
Basato su 37 recensioni
powered by Google
lascia una recensione su
Omid Fazeli
06:59 20 Apr 18
They have a lot of solutions for any kind of business. Lower prices than many others. The support service is always active and efficient.
Visualizza tutte le recensioni
Facebook
Secure Online Desktop s.r.l.
Secure Online Desktop s.r.l.
5.0
Basato su 12 recensioni
powered by Facebook
votaci su
Paolo Raimondi
Paolo Raimondi
11:06 21 Apr 18
La Polimatica Progetti Srl, azienda di... cui sono titolare, collabora con soddisfazione da alcuni anni con Secure Online Desktop. L'Azienda è costituita da professionisti seri e competenti. Insieme a loro abbiamo costruito un sistema organizzato di soluzioni ICT, servizi e attività di consulenza per la compliance alla normativa in materia di protezione dei dati personali (GDPR).leggi di più
Ilaria Miglietta
Ilaria Miglietta
04:16 21 Apr 18
Servizi affidabili e di semplice... utilizzo. I loro tecnici molto attenti alle esigenze del cliente, continuate cosìleggi di più
Francesca Marastoni
Francesca Marastoni
11:41 20 Apr 18
Excellent service company with... wonderful stuff. Highly recommended.

Ottima azienda, servizi molto utili, staff qualificato e competente. Raccomandata!leggi di più
Alessio Liga
Alessio Liga
08:25 20 Apr 18
Servizi di alto livello, competenti e... disponibili a accettare nuove sfide per sviluppare business
Ottimo supportoleggi di più
Matteo Revelli
Matteo Revelli
22:39 19 Apr 18
Ottima azienda, offre servizi di alta... qualità con personale competente e disponibile.leggi di più
Lorenzo Munari
Lorenzo Munari
16:25 19 Apr 18
Azienda molto seria e... affidabile.

E' un piacere poter collaborare con realtà di questo tipoleggi di più
Francisco Amadi
Francisco Amadi
10:41 19 Apr 18
Ho avuto il piacere di collaborare con... loro e spero vivamente che succeda di nuovo. Competenti, professionali, precisi e cordiali!leggi di più
Davide Michelotto
Davide Michelotto
07:42 19 Apr 18
Ottimo servizio, seri professionisti al... timone della società e celerità nei tempi di risposta, oltre ogni aspettativa.leggi di più
Gabriele Petralia
Gabriele Petralia
12:28 18 Apr 18
Luca Prati
Luca Prati
10:12 18 Apr 18
Azienda eccellente, consulenza... customizzata e puntuale.
Un ottimo fornitore.
Io personalmente ho parlato con l' Ing. Venuti, valore aggiunto indubbiamente.leggi di più
Valerio Lezza
Valerio Lezza
21:35 17 Apr 18
Daniela Cospito Di Leo
Daniela Cospito Di Leo
21:20 17 Apr 18
Altre recensioni
js_loader
payments gateway
Contatti