Depuis quelques temps déjà, les ransomwares sont devenus une industrie parallèle à part entière avec un service d’assistance technique, un centre de presse et des campagnes publicitaires. Comme pour n’importe quelle autre industrie, concevoir un produit compétitif nécessite une amélioration constante. LockBit, par exemple, est le dernier d’une multitude de groupes de cybercriminels qui promeut l’infection automatique des ordinateurs locaux via un contrôleur de domaine.
LockBit fonctionne un peu comme le principe du Ransomware-as-a-Service (RaaS) en fournissant aux clients (les pirates informatiques) une infrastructure et un malware en échange d’une partie de la rançon. Pirater le réseau d’une victime est la responsabilité du contractant et en ce qui concerne la propagation du ransomware à travers le réseau, LockBit a conçu une approche assez intéressante.
Le schéma de distribution de LockBit 2.0
Une fois que les pirates informatiques ont accès au réseau et qu’ils atteignent le contrôleur de domaine, Bleeping Computer affirme qu’ils exécutent le malware placé à l’intérieur, ce qui crée de nouvelles stratégies de groupe qui sont ensuite automatiquement envoyées sur chaque dispositif connecté au réseau. Ces stratégies désactivent d’abord la sécurité intégrée dans le système d’exploitation pour que d’autres créent ensuite une tâche planifiée sur tous les appareils Windows afin d’exécuter le ransomware.
Bleeping Computer mentionne le chercheur Vitali Kremez qui dit que le ransomware utilise l’API dans Windows Active Directory pour effectuer des requêtes LDAP (Protocole d’accès aux annuaires léger) pour obtenir la liste des ordinateurs. LockBit 2.0 contourne ensuite l’User Account Control (UAC, « contrôle du compte de l’utilisateur ») qui fonctionne silencieusement sans déclencher aucune alerte sur le dispositif en train d’être chiffré.
Ce sont vraisemblablement les premiers malwares à être diffusés à grande échelle via des GPO utilisateur. De plus, LockBit 2.0 laisse des messages de ransomware quelque peu saugrenus : ils commandent à toutes les imprimantes connectées au réseau d’imprimer la note.
Comment faire pour protéger votre entreprise d’une situation similaire ?
Gardez à l’esprit qu’un contrôleur de domaine est un serveur Windows et que comme tel, il a également besoin d’être protégé. Nous vous conseillons de vous munir de Kaspersky Security for Windows Server qui se trouve dans la plupart de nos solutions de sécurité destinées aux entreprises et qui protège les serveurs sous Windows contre la majorité des menaces modernes.
Cependant, les ransomwares qui se répandent via les GPO font partie de la dernière étape d’une attaque. Les activités suspectes sont généralement décelables bien plus tôt, par exemple lorsque les pirates informatiques pénètrent pour la première fois dans le réseau ou qu’ils tentent de pirater de contrôleur de domaine. Nos solutions Managed Detection and Response sont particulièrement efficaces pour déceler les signes avant-coureurs de ce genre d’attaque.
Mais la plupart du temps, les cybercriminels utilisent des techniques d’ingénierie sociale et envoient des e-mails d’hameçonnage pour obtenir l’accès initial. Afin d’éviter que vos employés ne tombent dans leurs pièges, sensibilisez-les sur la cybersécurité grâce à une formation régulière.