Che cos'è LockBit Ransomware? Tutto quello che c'è da sapere sul virus LockBit
LockBit è una delle famiglie di ransomware più discusse degli ultimi anni. Crittografa i file
e li rende inutilizzabili, quindi chiede un riscatto in cambio della "chiave di decrittazione". Inoltre, nella maggior parte dei casi
non si limita a crittografare i file, ma aumenta la pressione minacciando di divulgare i dati.
In questa guida troverete una spiegazione chiara di cosa sia LockBit, come si diffonde, quali estensioni utilizza, quali sono le tipiche richieste di riscatto,
come proteggersi e quali sono i passi corretti da compiere in caso di incidente.
Che cos'è il ransomware LockBit?
LockBit ransomware è un sofisticato software di ricatto che rende inaccessibili i file presenti su computer e server crittografandoli con metodi crittografici
e richiede un riscatto in cambio della decodifica.
. A differenza dei classici malware, il suo obiettivo sono principalmente le reti aziendali: server di file, infrastrutture virtuali
infrastrutture virtuali, sistemi di backup, dispositivi NAS e applicazioni aziendali critiche possono essere obiettivi prioritari.
Il motivo principale per cui gli attacchi LockBit sono così efficaci è che, invece di "danneggiare un singolo computer e lasciarlo così",
ma piuttosto come un'operazione che coinvolge l'intera rete. Si possono osservare fasi quali infiltrazione, aumento dei privilegi, movimento orizzontale all'interno della rete, disattivazione dei backup
e infine la crittografia di massa. Pertanto, LockBit non deve essere considerato solo come un "virus",
ma come un attacco informatico pianificato.
Come funziona LockBit?
Il funzionamento di LockBit si basa sul fatto che, dopo essersi introdotto nella rete, l'aggressore garantisce la permanenza nel sistema e ottiene l'accesso al maggior numero possibile di
file. L'obiettivo è quello di massimizzare l'effetto della crittografia e aumentare la probabilità di pagamento del riscatto.
In un caso tipico di LockBit si osservano le seguenti fasi:
Flusso tipico dell'attacco
Perché ha un effetto così rapido?
LockBit è ottimizzato per accelerare il più possibile il processo di crittografia dei file. In questo modo, anche con grandi volumi di dati
. Nei sistemi aziendali, l'effetto non è una "brutta sorpresa", ma spesso
un improvviso arresto di tutto: le condivisioni comuni non si aprono, i file appaiono danneggiati,
le applicazioni aziendali non riescono ad accedere ai file di dati.
Come si diffonde LockBit?
Sebbene i metodi di diffusione (accesso iniziale) di LockBit possano variare, nella pratica i canali più comuni sono ben noti.
Sebbene esistano esempi semplici come "Ho aperto un solo file e il danno era fatto", nei casi aziendali spesso giocano un ruolo critico politiche di accesso deboli,
sistemi non aggiornati e fughe di informazioni di identificazione giocano un ruolo critico.
I metodi di infezione più comuni
E-mail di phishing (adescamento)
Attraverso e-mail contenenti false fatture/offerte, avvisi di spedizione, richieste di "conferma dell'account"
utilizzano allegati o link dannosi. I file Office contenenti macro o archivi dannosi (ZIP/RAR) sono comuni in questo metodo.
Vulnerabilità RDP (Remote Desktop)
I servizi RDP aperti a Internet possono essere compromessi tramite l'uso di password deboli o attacchi di forza bruta.
Una volta che l'aggressore ha ottenuto l'accesso come amministratore, aumenta la probabilità che si diffonda rapidamente all'interno della rete.
Vulnerabilità del software e mancanza di aggiornamenti
Ritardi nell'applicazione delle patch del sistema operativo, vulnerabilità dei dispositivi VPN, applicazioni web non aggiornate o
plugin non aggiornati creano opportunità per gruppi come LockBit. In particolare, l'approccio "non toccare, funziona" nei confronti dei sistemi critici
aumenta il rischio di attacchi.
Crack / keygen e fonti di software pirata
Le fonti inaffidabili da cui vengono scaricati software senza licenza sono un vettore comunemente utilizzato per l'installazione di malware come LockBit.
L'uso di software crack, in particolare sui computer aziendali, indebolisce direttamente la sicurezza aziendale.
Nota
Nei casi aziendali, la vulnerabilità più critica è spesso la combinazione "persona + processo": una politica delle password debole,
mancanza di autenticazione a più fattori (MFA) e monitoraggio insufficiente (log/EDR) facilitano il lavoro di LockBit.
Quali sono le estensioni dei file LockBit?
LockBit aggiunge solitamente determinate estensioni alla fine dei file crittografati. Queste estensioni possono variare a seconda della versione utilizzata e della configurazione dell'aggressore
. Il cambiamento dell'estensione non è di per sé una diagnosi definitiva, ma è un forte indizio per una rapida identificazione al momento dell'incidente.
Estensioni comuni
.lockbit.lockbit2.lockbit3.abcd (in alcune varianti).HLJkNskOq)Esempio
Il file
rapor.xlsx una volta crittografato potrebbe diventare: rapor.xlsx.lockbitSuggerimento
Oltre all'estensione, la modifica delle dimensioni del file, l'impossibilità di aprirlo, l'errore "file danneggiato" e la presenza di richieste di riscatto nella stessa cartella
, la diagnosi diventa più affidabile.
Come si presenta il messaggio di riscatto LockBit?
Una volta completata la crittografia, LockBit lascia solitamente uno o più "biglietti di riscatto" nel sistema.
Queste note contengono le istruzioni dell'aggressore, il canale di comunicazione e la procedura di pagamento. La vittima viene spesso indirizzata a un pannello tramite TOR
.
File di richieste di riscatto comuni
Restore-My-Files.txtREADME.txtlockbit_readme.txtCosa si trova solitamente scritto in una richiesta di riscatto?
Cosa significa doppia estorsione (double extortion)?
Una delle cose che rende LockBit più pericoloso è che gli aggressori non si accontentano solo della crittografia.
In molti casi, l'aggressore esamina prima il sistema, esporta i dati importanti (file contabili, dati dei clienti, contratti,
archivi di posta elettronica, ecc.) e solo successivamente avvia la crittografia.
In questo caso, il riscatto non viene richiesto solo per "sbloccare i file", ma anche per "impedire la pubblicazione dei dati".
Questo approccio esercita una pressione sia operativa che reputazionale e legale sull'organizzazione.
Che cos'è LockBit 3.0 (LockBit Black)?
Esistono diverse versioni e varianti della famiglia LockBit. La versione denominata "LockBit 3.0 / Black"
è associata a tecniche più avanzate e operazioni più aggressive. Nella catena di attacchi si possono osservare
e automazioni più potenti.
Rischi principali
Modi per proteggersi da LockBit
Non esiste una "protezione perfetta" contro gli attacchi ransomware, ma con un'architettura adeguata e operazioni disciplinate il rischio si riduce notevolmente.
L'approccio più efficace contro LockBit non è solo installare un antivirus, ma combinare backup + controllo degli accessi + monitoraggio
.
Le misure di sicurezza più efficaci
Strategia di backup 3-2-1
Eseguite il backup con almeno 3 copie, 2 supporti diversi e 1 copia offline. Utilizzate il versioning
e protezione contro la cancellazione (immutabilità).
Sicurezza delle e-mail e consapevolezza degli utenti
Mantenere i macro disattivati per impostazione predefinita, non aprire allegati sospetti, seguire corsi di formazione sul phishing e utilizzare livelli di sicurezza e-mail
(filtraggio spam/allegati) riducono la probabilità di attacchi.
Rafforzamento degli accessi RDP/VPN
Se possibile, disattivare l'RDP aperto a Internet. Se necessario, consentire l'accesso solo tramite VPN, con restrizioni IP, password complesse e
MFA.
Gestione delle patch (patch management)
Il sistema operativo, i dispositivi VPN, le applicazioni web e i plug-in devono essere aggiornati regolarmente. L'approccio "aggiornamento posticipato"
è uno dei maggiori rischi per il ransomware.
EDR + monitoraggio centralizzato dei log
Le soluzioni EDR sono efficaci nell'individuare comportamenti sospetti. Inoltre, i meccanismi di registrazione centralizzata e di allerta
(come SIEM) offrono la possibilità di intervenire tempestivamente.
Cosa fare in caso di infezione da LockBit?
Agire in modo affrettato nel momento dell'incidente può aumentare i danni. Ma agire nel modo giusto può fermare la diffusione e aumentare le possibilità di recupero dei dati.
L'obiettivo in questo caso dovrebbe essere "reazione rapida + protezione delle prove + ritorno sicuro".
Elenco delle azioni rapide da intraprendere
Avviso importante
La rimozione del malware non ripristina automaticamente i file. Se non si dispone della chiave di decrittazione o di una soluzione affidabile
potrebbe essere difficile aprire i file. Pertanto, il piano di backup e di intervento è di fondamentale importanza.
Esiste un decryptor LockBit? È possibile riaprire i file?
Non è corretto affermare che esista un unico decryptor universale "sempre funzionante" per LockBit. In alcuni casi, le operazioni delle forze dell'ordine
, applicazioni di crittografia difettose o soluzioni per varianti precedenti possono offrire delle opportunità.
Tuttavia, nella maggior parte dei casi, il modo più affidabile per recuperare i dati è l'approccio sistema pulito + backup solido.
Se la vostra organizzazione è stata colpita, invece di adottare l'approccio "provo tutti i decryptor che trovo", è più sicuro effettuare una diagnosi accurata tramite file di esempio, richieste di riscatto,
estensioni e log, e di verificare da fonti affidabili.
Domande frequenti
Che cos'è LockBit ransomware?
LockBit è una famiglia di ransomware che crittografa i file, ne blocca l'accesso e richiede un riscatto per sbloccarli. In molti casi
minaccia anche di divulgare i dati, ricorrendo così al doppio ricatto.
Cosa succede se si viene infettati dal virus LockBit?
I file vengono crittografati, le estensioni possono cambiare, viene lasciato un messaggio di riscatto e la continuità operativa dei sistemi può essere interrotta.
In contesti aziendali, anche i file server e le condivisioni comuni potrebbero essere interessati.
Quali sono le estensioni di LockBit?
Le più comuni sono
.lockbit, .lockbit2, .lockbit3 e, in alcune varianti, estensioni diverse/casuali. L'estensione, la richiesta di riscatto e l'impossibilità di aprire i file devono essere valutati insieme.
È necessario pagare il riscatto richiesto da LockBit?
Il pagamento del riscatto non garantisce che i file vengano sbloccati o che i dati vengano cancellati. Inoltre, potrebbe incoraggiare ulteriori attacchi.
L'approccio più sicuro è quello di ripristinare i file dai backup e correggere le vulnerabilità di sicurezza.
I file LockBit possono essere riaperti?
Non sempre è possibile. In alcuni casi particolari possono esserci delle soluzioni, ma il metodo di recupero più affidabile è il ripristino da backup sicuri e isolati
. Durante il processo di intervento, è importante conservare le prove e i log.
Come posso proteggermi da un attacco LockBit?
Il backup offline/versione, l'autenticazione a più fattori (MFA), il rafforzamento di RDP/VPN, gli aggiornamenti regolari, la sicurezza della posta elettronica e il monitoraggio EDR/SIEM
riducono notevolmente il rischio LockBit.
![Che cos'è il ransomware? Come funziona, come si diffonde e come proteggersi? [Guida 2026]](/media/resize?path=storage%2Fuploads%2F253876fe-7603-4408-8773-193c119057ad.webp&w=640)