Facebook-f Twitter Instagram Youtube Linkedin Tiktok

Se connecter

Article étudiant mastère – Lockbit 3.0

Article étudiant mastère – Open Source INTelligence

  1. Présentation de Lockbit

 

Le ransomware “LockBit” est apparu pour la première fois sur le marché des ransomwares le 3 septembre 2019. Le rançongiciel n’a pas gagné beaucoup de popularité. Les premières versions du logiciel étaient surnommées “virus.abcd”, ce qui faisait référence à l’extension utilisée lors du chiffrement des données. Personne n’a prêté attention à ce petit groupe jusqu’à la version 2.0 de leur ransomware “LockBit 2.0” en septembre 2021. Le ransomware est alors maintenu à jour et amélioré de jour en jour.

En 2021, un porte-parole du groupe a pris la parole et déclaré être basé aux Pays-Bas et que les pays de l’ex-URSS ne seraient pas la cible du groupe d’hacktivistes puisque la plupart des membres du groupe ont grandi là-bas et ils évitent les poursuites dans ces régions. Le porte-parole a annoncé être plus d’une centaine de personnes au sein du groupe de pirates, ce qui fait d’eux aujourd’hui l’un des groupes de hackers les plus connus.

La dernière version de leur rançongiciel “LockBit 3.0” a fait parler de lui ces derniers temps. Il est devenu encore plus performant grâce à la correction de nombreux bugs et plus virulent car il intègre une auto-propagation du virus. Pour la correction de ces bugs, ils ont mis en place un bug bounty, ce qui signifie que pour chaque personne qui signale un bug ou une faille, il sera récompensé. La récompense s’élève à 50 000 $ pour la remontée d’un bug.

Le groupe utilise une nouvelle stratégie d’extorsion en exigeant de l’argent directement aux victimes et ne révèle pas l’attaque publique comme le groupe Bianlian. Les personnes qui subissent une attaque de LockBit n’ont plus accès à leurs données, elles sont chiffrées et pour les récupérer, les victimes doivent payer une rançon afin d’obtenir la clé de déchiffrement pour récupérer leurs données. Les victimes ont 24 heures pour procéder au paiement de la rançon. S’ils ne procèdent pas au paiement, leurs données chiffrées sont supprimées et récupérées par les pirates afin de les diffuser sur internet afin de récupérer de l’argent et de nuire.

Pour rejoindre le groupe, il faut répondre à quelques critères, tels que :

  • Être actif
  • Rapporter plus de 5 bitcoins par mois
  • Disponibilité du profil du futur partenaire sur les forums de hackers
  • Fournir des preuves de ses compétences ou de ses projets
  • Fournir le solde de ses portefeuilles crypto.

Ce sont les seules conditions pour rejoindre le groupe. Les membres de ce groupe sont de différentes ethnies et de différents pays.

À ce jour, le groupe a fait plus de 1200 victimes confirmées. Leurs cibles sont des entreprises ou groupes privés ou publics qui disposent de fonds importants pour payer de grosses sommes, ce qui peut entraîner des attaques tentaculaires à l’encontre de grandes entreprises, dans les secteurs de la santé comme des institutions financières.

  1. Versions de LockBit

LockBit est mis à jour régulièrement, nous sommes actuellement à la version 3.0.

LockBit 1.0 est une amélioration de leur précédent ransomware surnommé le ABCD Ransomware (puisqu’il chiffrait avec l’extension .abcd), il a été renommé ensuite LockBit en septembre 2019.

Dans sa première version, celui-ci se fait passer pour un exécutable Microsoft (PE32), ce qui lui permet d’être considéré comme un exécutable de source sûre malgré la charge qu’il emporte.

La première version chiffre les fichiers importants en remplaçant l’extension initiale par .lockbit, ce qui le rend plus facilement identifiable. Le chiffrement est également très lent, il faut compter plusieurs heures pour que le ransomware chiffre tout le disque.

La seconde version de LockBit (LockBit 2.0) est apparue en juin 2021. Celle-ci apporte quelques améliorations, telles que le chiffrement uniquement des 4 premiers Ko d’un fichier (ce qui permet de le rendre illisible). La nouvelle version de LockBit a touché plus de 850 victimes d’après leur site (universités, compagnies d’assurances, entreprises informatiques…).

Une troisième version (LockBit 3.0) est apparue ensuite en juin 2022, apportant de nouvelles améliorations (changement de fond d’écran du bureau, changement de l’extension d’un fichier chiffré, ajout d’une page expliquant comment acheter du bitcoin pour le paiement de la rançon, divers moyens de paiement, chiffrement plus rapide…).

Cette nouvelle version a encore touché de nombreuses victimes, que ce soit des petites entreprises, des grands groupes ou encore des administrations publiques.

Fin juillet, on recense 56 victimes du ransomware LockBit 3.0 (hôpitaux, La Poste Mobile…).

  1. Fonctionnement de LockBit

Le ransomware LockBit est considéré par les autorités comme faisant partie de la famille de programmes malveillants LockerGoga & MegaCortex.

Cela signifie simplement qu’il a des comportements similaires à ceux de ces formes établies de ransomwares ciblés. Sa caractéristique la plus distinctive est sa capacité à se propager automatiquement en toute autonomie.

Dans sa programmation, LockBit est soumis à des processus automatisés préconçus et s’est notamment démarqué des autres ransomwares grâce à cette fonctionnalité. Il peut se greffer sur un réseau grâce à la propagation et par la suite surveiller les autres postes du réseau pour les infecter plus tard.

Son processus d’analyse automatisé semble éviter intentionnellement les systèmes localisés en Russie ou dans tout autre pays de la Communauté des États indépendants (à partir de la langue de l’ordinateur). On suppose que l’objectif consiste à éviter les poursuites dans ces régions.

LockBit semble ne pas toucher aux systèmes ayant l’une de ces langues activées :

  • Azeri (cyrillique)
  • Azeri (latin)
  • Arménien – Arménie
  • Biélorusse
  • Géorgien
  • Kazakh
  • Kirghize
Phase 1 : Exploitation des vulnérabilités du réseau

La première violation ressemble à celle d’autres attaques malveillantes. Une entreprise peut être ciblée par des tactiques d’ingénierie sociale telles que le phishing, où les cybercriminels se font passer pour des employés ou des autorités légitimes dans le but de demander des identifiants de connexion.
L’utilisation d’attaques par force brute sur les serveurs intranet et les systèmes réseau d’une entreprise est également possible.
Sans une configuration réseau appropriée, les analyses préparatoires aux attaques peuvent être effectuées en quelques jours seulement. Une fois que le rançongiciel LockBit analyse un réseau, il prépare le système à diffuser sa charge utile de cryptage sur autant d’appareils que possible.
Cependant, un cybercriminel doit s’assurer de franchir quelques étapes supplémentaires avant de pouvoir passer à la phase finale.

Exploitation :

LockBit utilise diverses méthodes pour pénétrer dans le système informatique de la victime, notamment :

  • Les attaques de phishing : Les pirates envoient des emails de phishing contenant des pièces jointes malveillantes ou des liens vers des sites web piégés pour inciter les victimes à télécharger et à ouvrir des fichiers malveillants.

  • Les vulnérabilités logicielles : LockBit exploite les vulnérabilités connues des logiciels pour accéder aux systèmes cibles.

Infiltration :

Après avoir pénétré dans le système, LockBit utilise des techniques sophistiquées pour s’infiltrer dans le réseau de l’entreprise et identifier les données à chiffrer. Les pirates peuvent utiliser des outils de piratage pour voler des identifiants et des mots de passe d’administrateur afin d’accéder aux systèmes plus sensibles.

Déploiement :

LockBit chiffre les fichiers importants en utilisant un algorithme de chiffrement fort et change leur extension pour .lockbit. Les pirates exigent ensuite une rançon pour fournir la clé de déchiffrement et permettre à la victime de récupérer ses données.

Les pirates peuvent également menacer de divulguer les données chiffrées en ligne ou d’utiliser des techniques de chantage pour forcer la victime à payer la rançon.

En résumé, LockBit est un ransomware sophistiqué qui utilise des techniques d’exploitation sophistiquées pour infecter les systèmes cibles et chiffrer les données de la victime. Les pirates exigent ensuite une rançon pour fournir la clé de déchiffrement et permettre à la victime de récupérer ses données.

Phase 2 : Infiltration plus profonde

À partir de là, le programme LockBit exécute toutes les activités indépendamment. Il est programmé pour utiliser ce que nous appelons des outils de “post-exploitation” pour obtenir des privilèges élevés et atteindre un niveau d’accès prêt pour les attaques. Il s’ancre également à travers un accès déjà disponible par un mouvement latéral pour vérifier la viabilité de la cible. C’est à ce moment que LockBit prend des mesures préventives avant d’implémenter la partie cryptage du ransomware. Celles-ci incluent la désactivation des programmes de sécurité et de toute autre infrastructure pouvant permettre la récupération du système. Le but de l’infiltration est d’invalider toute récupération sans surveillance ou de ralentir suffisamment le système pour que l’acceptation de la rançon devienne la seule solution pratique. C’est lorsque la victime cherche désespérément à reprendre le cours normal de son activité qu’elle accepte de payer la rançon.

Une fois que le réseau est préparé pour la mobilisation complète de LockBit, le ransomware commence à se propager à toutes les machines auxquelles il accède. Comme indiqué ci-dessus, LockBit n’a guère besoin de beaucoup de ressources pour cette phase. Un seul lecteur système avec un accès élevé peut envoyer des commandes à d’autres lecteurs réseau pour télécharger LockBit et l’exécuter. La partie cryptage placera un verrou sur tous les fichiers du système. Les victimes ne peuvent déverrouiller leurs systèmes qu’avec une clé personnalisée créée par l’outil de décryptage propriétaire de LockBit. Le processus laisse également des copies d’un simple fichier texte de note de rançon dans chaque dossier système. Ce fichier fournit à la victime des instructions pour restaurer le système et inclut parfois un chantage dans certaines versions de LockBit.

Une fois les trois phases terminées, la victime prend le relais. Vous pouvez décider de contacter le centre de support LockBit et de payer la rançon. Cependant, céder au chantage est fortement déconseillé. Les victimes ne sont pas assurées que les cybercriminels respecteront leur part du marché.

  1. Comment s’en protéger ?

La formation utilisateur est un facteur décisif dans la protection des ransomwares, l’humain étant toujours la faille principale dans votre sécurité informatique. Des comportements considérés comme sans risque par des utilisateurs non sensibilisés à la sécurité informatique pourraient être critiques pour des entreprises. Voici alors quelques conseils de “bonnes pratiques” pour s’en prémunir.

Bonnes Pratiques pour la direction de l’entreprise :

  • N’utilisez jamais de clés USB inconnues : ne connectez jamais de clés USB ni d’autres supports de stockage à votre ordinateur si vous ne savez pas d’où ils proviennent. Il se peut que des cybercriminels aient infecté le support de stockage et l’aient placé dans un lieu public pour inciter quelqu’un à l’utiliser.

  • Armez-vous des règles élémentaires de cyber-hygiène : Un audit avec le guide de l’hygiène de l’ANSSI est une mesure efficace contre les logiciels malveillants

Bibliographie

  1. “LockBit Ransomware”, Coveware (consulté le 16 avril 2023) https://www.coveware.com/threats/lockbit-ransomware

  2. “How LockBit ransomware works and how to prevent it”, Kaspersky (consulté le 16 avril 2023) https://www.kaspersky.com/blog/lockbit-ransomware/40641/

  3. “Everything You Need to Know About LockBit Ransomware”, SecurityTrails (consulté le 16 avril 2023) https://securitytrails.com/blog/lockbit-ransomware

  4. “The Anatomy of a Ransomware Attack”, FBI (consulté le 16 avril 2023) https://www.fbi.gov/news/stories/ransomware-awareness-for-cybersecurity-awareness-month-101421

  5. “LockBit Ransomware: A Full Technical Analysis”, SentinelOne (consulté le 16 avril 2023) https://www.sentinelone.com/blog/lockbit-ransomware-a-full-technical-analysis/

  6. “LockBit Ransomware”, Cybersecurity & Infrastructure Security Agency (CISA) (consulté le 16 avril 2023) https://us-cert.cisa.gov/ncas/alerts/aa21-339a

  7. “Ransomware Guidance”, National Cyber Security Centre (NCSC) (consulté le 16 avril 2023) https://www.ncsc.gov.uk/guidance/ransomware-guidance-overview

  8. “LockBit Ransomware”, MITRE ATT&CK (consulté le 16 avril 2023) https://attack.mitre.org/software/S0528/

  9. “Understanding Ransomware and How to Protect Yourself”, Federal Trade Commission (FTC) (consulté le 16 avril 2023) https://www.ftc.gov/faq/business/protecting-your-business/ransomware

  10. “Ransomware: What It Is and What To Do About It”, Department of Justice (DOJ) (consulté le 16 avril 2023) https://www.justice.gov/criminal-ccips/file/872771/download

Suivez-nous

Newsletter

Contact

Chartes

Facebook-f Twitter Instagram Youtube Linkedin Tiktok
Copyright © All Rights Reserved ESD
Taux de satisfaction des clients en 2023
4.3/5
Devenir formateur ESD