Analyse du paysage des menaces LockBit

Imaginez un fantôme virtuel se glissant dans les ombres numériques, enfermant silencieusement des données et laissant un message obsédant demandant une rançon. C’est le ransomware LockBit, le trouble-fête furtif du monde de la cybersécurité. Dans ce blog, nous allons percer ses mystères : comment il se faufile et fait des ravages, et pourquoi les entreprises doivent être en état d’alerte.

Qu’est-ce que le LockBit ?

Le gang LockBit est un groupe de Ransomware as a Service (RaaS) qui crypte des fichiers et demande une rançon pour les libérer. Opérant dans l’ombre, ce gang reste insaisissable, utilisant un modèle RaaS et employant des techniques sophistiquées dans des cyberattaques très médiatisées ciblant des organisations du monde entier. Le groupe s’infiltre dans les systèmes par le biais de vulnérabilités, chiffre les fichiers et laisse les victimes avec une note de rançon exigeant le paiement de crypto-monnaies en échange du déchiffrement des fichiers. Connu pour sa furtivité et son évolution, LockBit a été impliqué dans divers incidents de cybersécurité.

Anatomie d’une attaque de ransomware LockBit (LockBit 3.0)

1. Accès initial

La première étape d’une attaque par ransomware LockBit consiste à obtenir un accès initial à un système cible. Les affiliés de LockBit 3.0 qui exécutent le ransomware s’introduisent dans les réseaux des victimes à l’aide de diverses méthodes, notamment en exploitant le protocole RDP (Remote Desktop Protocol), en s’engageant dans une compromission par drive-by, en menant des campagnes d’hameçonnage, en abusant de comptes valides et en tirant parti des vulnérabilités des applications publiques. Notamment, pendant la phase d’installation, LockBit 3.0 tente d’escalader les privilèges si ceux initialement acquis s’avèrent insuffisants.

2. Chiffrement

LockBit 3.0 s’infiltre dans les réseaux en utilisant des informations d’identification préconfigurées ou des comptes locaux compromis. Il se propage par le biais d’objets de stratégie de groupe et de PsExec via le protocole Server Message Block. Le ransomware chiffre les données, à l’exception des fichiers du système central. Il laisse ensuite une note de rançon, modifie l’apparence de l’appareil avec la marque LockBit 3.0 et transmet les informations chiffrées à un serveur de commande et de contrôle. Une fois ses tâches accomplies, LockBit 3.0 peut se supprimer lui-même et supprimer les mises à jour de la stratégie de groupe, en fonction de la configuration de la compilation.

3. Exfiltration

L’exfiltration est une technique courante employée par les affiliés de LockBit 3.0, souvent via StealBit, un outil d’exfiltration propriétaire hérité de LockBit 2.0. En outre, ils utilisent rclone, un outil de stockage cloud open-source, ainsi que des outils de partage de fichiers accessibles tels que MEGA. Ces outils permettent aux affiliés d’extraire les fichiers de données de l’entreprise avant de lancer le processus de cryptage.

Variantes:

LockBit 2.0

LockBit 2.0, une variante RaaS améliorée qui a fait surface en juin 2021, a succédé à LockBit et à son prédécesseur ABCD ransomware, initialement détecté en septembre 2019. Grâce à un recrutement actif sur des forums clandestins, elle a gagné en importance au troisième trimestre 2021. Se targuant d’être le logiciel de chiffrement le plus rapide parmi ses contemporains, il a poursuivi ses activités lorsque d’autres programmes RaaS ont disparu en 2021.

LockBit 3.0

Également appelé LockBit Black, ce ransomware est apparu en mars 2022 lorsque le gang a annoncé son intention de publier en ligne les données des victimes qui n’avaient pas payé, dans un format convivial et consultable. Ciblant des données cruciales aux États-Unis, au Royaume-Uni et en Allemagne, elle s’appuie sur des mots de passe faibles et sur l’absence de MFA pour l’accès aux comptes d’administration. L’introduction par LockBit 3.0 d’un programme de récompense des bogues est un signe de progrès technologique, qui encourage les hackers à identifier ses vulnérabilités.

LockBit commence ses attaques en profitant des vulnérabilités des applications, en essayant de deviner les mots de passe RDP et en utilisant des techniques d’hameçonnage. Les attaquants procèdent ensuite à l’exécution du ransomware, à l’éradication des journaux et au chiffrement des données sur les appareils locaux et distants par l’intermédiaire de PowerShell Empire.

LockBit Green

LockBit Green est une nouvelle variante du ransomware. Révélée le 27 janvier 2023 par des captures d’écran partagées sur les médias sociaux par une équipe de recherche nommée vx-underground, cette variante semble suivre le schéma habituel qui consiste à cibler les environnements Windows avec ses capacités de ransomware.

LockBit pour Mac

En avril 2023, le gang du ransomware a marqué un tournant important dans ses opérations en développant pour la première fois des chiffreurs spécifiquement conçus pour cibler macOS. Cette découverte a été faite par les chercheurs en cybersécurité MalwareHunterTeam, qui ont identifié une archive ZIP sur VirusTotal contenant ce qui semble être une collection de chiffreurs nouvellement créés.

Une attaque récente

En février 2023, The Guardian rapporte que Royal Mail a rejeté une demande de rançon de 80 millions de dollars émanant dehackers liés à la Russie, dans le cadre d’une cyberattaque par ransomware qui a débuté en janvier 2023. Le gang a infiltré le logiciel de l’entreprise, crypté des fichiers cruciaux et perturbé les expéditions internationales. Des transcriptions du Dark Web attribuées à LockBit ont révélé des négociations litigieuses au cours desquelles Royal Mail a résisté à des demandes de plus en plus agressives. Au bout de deux semaines, les hackers ont fixé la rançon à 80 millions de dollars, affirmant qu’il s’agissait de 0,5 % du chiffre d’affaires de l’entreprise, pour le décryptage des fichiers.

Détecter LockBit avec une solution SIEM

La détection du ransomware LockBit à l’aide d’une solution SIEM implique de tirer parti d’une analyse complète des journaux et d’une surveillance comportementale. Voici comment ManageEngine Log360 peut être utilisé pour une détection efficace :

  1. Anomalies comportementales

Log360 surveille les modèles comportementaux inhabituels, détectant instantanément les écarts dans les tentatives d’accès aux fichiers, les interactions avec le système ou le trafic réseau qui indiquent une activité du ransomware.

  1. Anomalies de l’utilisateur

L’UEBA de Log360 identifie les comportements suspects des utilisateurs, tels que l’escalade des privilèges ou les tentatives inhabituelles d’accès aux données, aidant à la détection précoce de l’infiltration de LockBit.

  1. Surveillance des terminaux

La solution SIEM surveille les terminaux pour détecter les processus inhabituels ou les modifications de fichiers, fournissant des alertes en temps réel sur les activités associées au ransomware LockBit.

  1. Analyse du trafic réseau

La solution SIEM analyse le trafic réseau à la recherche de schémas correspondant au mouvement latéral de LockBit, ce qui permet d’identifier et d’endiguer rapidement la propagation du ransomware.

  1. Cartographie MITRE ATT&CK

Log360 aligne ses mécanismes de détection et de réponse avec le cadre ATT&CK de MITRE pour se concentrer sur les techniques communément associées au ransomware LockBit, comme le mouvement latéral.

  1. Contrôle de l’intégrité des fichiers

La solution SIEM utilise des contrôles d’intégrité des fichiers pour détecter les modifications non autorisées signalant des attaques potentielles de LockBit, ce qui permet une réponse et une atténuation rapides.

Mesures de sécurité essentielles

  1. Sauvegarder régulièrement les données critiques et veiller à ce que les sauvegardes soient stockées hors ligne ou dans un environnement sécurisé et isolé.

  1. Utiliser des solutions antivirus, antimalware et SIEM réputées pour détecter et bloquer les ransomwares avant qu’ils ne s’exécutent.

  1. Utiliser des solutions de filtrage des courriels pour identifier et bloquer les courriels suspects.

  1. Mettre en œuvre des solutions de protection des terminaux pour surveiller et contrôler les appareils connectés au réseau afin de détecter et de prévenir les activités malveillantes.

  1. Segmenter le réseau pour limiter la propagation des ransomwares. Restreindre les mouvements latéraux en séparant les systèmes critiques des systèmes moins sensibles.

  1. Appliquer MFA pour l’accès aux systèmes et aux données sensibles afin d’ajouter une couche de sécurité supplémentaire et de rendre plus difficile l’accès des utilisateurs non autorisés.

  2. Participer à l’échange de renseignements sur les menaces pour rester informé des derniers développements et des techniques utilisées par LockBit et d’autres variantes de ransomware.

  3. Veiller au respect des lois applicables en matière de protection des données et de cybersécurité.

Source : Navigating the threat landscape of LockBit by Judin