Présentation de LockBit
Le ransomware LockBit est un logiciel malveillant conçu pour bloquer l'accès des utilisateurs aux systèmes informatiques et lever le blocage en échange d'une rançon. LockBit analyse automatiquement les ressources importantes, propage l'infection et chiffre tous les systèmes informatiques accessibles d'un réseau. Ce ransomware est utilisé pour les attaques hautement ciblées à l'encontre d'entreprises et autres organismes. Dans le cadre d'une cyberattaque, les cybercriminels utilisant LockBit se démarquent en menaçant les entreprises du monde entier de la manière suivante :
- Perturbation des opérations avec arrêt soudain des fonctions essentielles
- Extorsion de gains financiers au profit des cybercriminels
- Vol de données et publication illégale avec chantage si la victime refuse d'obtempérer
Qu'est-ce que le ransomware LockBit ?
LockBit est une nouvelle attaque par ransomware s'inscrivant dans la longue lignée des cyberattaques d'extorsion. Anciennement connu sous le nom « ABCD », ce ransomware est aujourd'hui devenu une menace à part entière au sein de ces outils d'extorsion. LockBit appartient à la sous-catégorie de ransomwares appelée « cryptovirus », parce qu'il exige un paiement financier en guise de rançon en échange d'un déchiffrement. Il cible principalement les entreprises et les organismes gouvernementaux, plus que les particuliers.
Les attaques utilisant LockBit ont commencé en septembre 2019, alors qu'il était surnommé le « virus .abcd ». Ce surnom faisait référence au nom de l'extension de fichier utilisée lors du chiffrement des fichiers d'une victime. Les États-Unis, la Chine, l'Inde, l'Indonésie et l'Ukraine ont été déjà visés par le passé par ce genre d'attaques. Il en est de même pour plusieurs pays d'Europe (France, Royaume-Uni, Allemagne).
Les cibles viables disposent de fonds suffisants et seront suffisamment freinées par les perturbations pour payer une somme importante. Par conséquent, ceci peut entraîner des attaques tentaculaires à l'encontre de grandes entreprises, dans les secteurs de la santé comme des institutions financières. Son processus d'analyse automatisé semble éviter intentionnellement les systèmes localisés en Russie ou dans tout autre pays de la Communauté des États indépendants. On suppose que l'objectif consiste à éviter les poursuites dans ces régions.
LockBit s'apparente à un ransomware en tant que service. Les parties qui le souhaitent versent un dépôt en vue d'attaques personnalisées à louer, et en récupèrent les bénéfices via une structure affiliée. Les paiements des rançons sont répartis entre l'équipe de développeurs de LockBit et les filiales à l'origine des attaques, qui perçoivent jusqu'à ¾ du montant de la rançon.
Comment le ransomware LockBit fonctionne-t-il ?
Le ransomware LockBit est considéré par de nombreuses autorités comme faisant partie de la famille de programmes malveillants LockerGoga & MegaCortex. Cela signifie simplement qu'il a des comportements similaires à ceux de ces formes établies de ransomwares ciblés. Pour faire court, nous savons que ces attaques :
- se propagent automatiquement au sein d'une entreprise et ne nécessitent aucune gestion manuelle ;
- sont ciblées et non dispersées à tout va comme les spams ;
- utilisent des outils similaires pour se propager comme Windows Powershell et Server Message Block (SMB).
Sa caractéristique la plus distinctive est sa capacité à se propager automatiquement, en toute autonomie. Dans sa programmation, LockBit est soumis à des processus automatisés préconçus. Il se démarque ainsi des autres attaques par ransomware reposant sur une intrusion manuelle dans le réseau, parfois pendant plusieurs semaines, pour opérer une reconnaissance et une surveillance.
Une fois que le cybercriminel a infecté manuellement un hôte unique, il peut trouver d'autres hôtes accessibles, les connecter aux hôtes infectés, puis propager l'infection au moyen d'un script. Ce processus s'exécute et se répète sans aucune intervention humaine.
En outre, il utilise des outils dans des schémas natifs présents dans la quasi-totalité des systèmes informatiques Windows. Les systèmes de sécurité des terminaux ont du mal à détecter les activités malveillantes. Le ransomware dissimule le fichier de chiffrement exécutable en le remplaçant par un format de fichier image .PNG ordinaire afin de tromper les défenses du système.
Phases des attaques par LockBit
Les attaques par LockBit se déroulent en trois phases :
- Exploitation
- Infiltration
- Déploiement
Phase 1 : Exploitation des failles d'un réseau. La première brèche ressemble à celle des autres attaques malveillantes. Une entreprise peut être attaquée par des tactiques d'ingénierie sociale comme le phishing, au cours desquelles les cybercriminels se font passer pour du personnel ou des autorités légitimes dans le but de demander des identifiants de connexion. Le recours aux attaques par force brute sur les serveurs intranet et les systèmes réseau d'une entreprise est également viable. Sans configuration appropriée du réseau, les analyses préparatoires des attaques peuvent être terminées en quelques jours seulement.
Une fois que le ransomware LockBit a analysé un réseau, il prépare le système à libérer sa charge utile de chiffrement sur tous les appareils possibles. Toutefois, un cybercriminel doit veiller à franchir quelques étapes supplémentaires avant de pouvoir passer à la phase finale.
Phase 2 : Infiltration plus profonde pour terminer la configuration de l'attaque si nécessaire. À partir de là, le programme LockBit dirige toute activité de manière indépendante. Il est programmé pour utiliser ce que nous appelons les outils de « post-exploitation » pour obtenir des privilèges élevés et atteindre un niveau d'accès prêt à l'attaque. Il s'ancre également au moyen d'un accès déjà disponible via un mouvement latéral pour vérifier la viabilité de la cible.
C'est à ce moment-là que LockBit entreprend des actions d'anticipation avant de déployer la partie chiffrement du ransomware. Celles-ci incluent la désactivation des programmes de sécurité et de toute autre infrastructure susceptible d'autoriser la récupération du système.
L'objectif de l'infiltration consiste à invalider toute récupération sans assistance ou à ralentir suffisamment le système pour que l'acceptation de la rançon devienne la seule solution pratique. C'est lorsque la victime désespère de reprendre le cours normal de son activité qu'elle accepte de payer la rançon.
Phase 3 : Déploiement de la charge utile de chiffrement. Une fois que le réseau est préparé en vue d'une totale mobilisation par LockBit, le ransomware commence sa propagation sur toute machine à laquelle il accède. Comme indiqué précédemment, LockBit n'a guère besoin de beaucoup de ressources pour cette phase. Une unité système unique avec un accès élevé peut émettre des commandes sur d'autres unités réseau pour télécharger LockBit et l'exécuter.
La partie chiffrement placera un « verrou » sur tous les fichiers système. Les victimes ne peuvent déverrouiller leurs systèmes qu'avec une clé personnalisée créée par l'outil de déchiffrement propriétaire de LockBit. Le processus laisse également des copies d'un simple fichier texte de note de rançon dans chaque dossier système. Ce fichier fournit à la victime des instructions pour restaurer le système et inclut parfois d'odieux chantages dans certaines versions de LockBit.
Une fois les trois phases terminées, la victime prend le relais. Elle peut décider de contacter le centre de support LockBit et de payer la rançon. Toutefois, céder au chantage est vivement déconseillé. Les victimes n'ont pas la garantie que les cybercriminels respecteront leur part du marché.
Types de menaces LockBit
À l'instar de la dernière attaque par ransomware, la menace LockBit peut être un problème de taille. Nous ne pouvons pas écarter la possibilité qu'elle s'implémente dans plusieurs secteurs et entreprises, notamment avec la recrudescence du travail à distance. Repérer les variantes de LockBit peut aider à identifier avec précision ce à quoi on a affaire.
Variante 1 : extension .abcd
La version d'origine de LockBit renomme les fichiers avec l'extension « .abcd ». Par ailleurs, elle inclut une note de rançon avec des demandes et des instructions pour des restaurations allégées dans le fichier Restore-My-Files.txt, inséré dans chaque dossier.
Variante 2 : extension .LockBit
La seconde version connue de ce ransomware a adapté l'extension « .LockBit », d'où son nom actuel. Cependant, les victimes constateront que d'autres caractéristiques de cette version sont similaires malgré des révisions du backend.
Variante 3 : LockBit version 2
La version identifiable suivante de LockBit exclut le téléchargement du navigateur Tor dans ses instructions de rançon. À la place, elle renvoie ses victimes sur un autre site Web via un accès Internet classique.
Mises à jour et révisions de LockBit en cours
LockBit a récemment été enrichi de fonctionnalités malveillantes comme l'invalidation des points de contrôle des autorisations administratives. LockBit désactive désormais les invites de sécurité que les utilisateurs peuvent voir lorsqu'une application tente de s'exécuter sous un profil administrateur.
De la même manière, le programme malveillant est désormais configuré pour voler les copies des données serveur et inclut des lignes supplémentaires de chantage dans la note de rançon. Si la victime ne suis pas les instructions, LockBit menace désormais de publier ses données personnelles.
Suppression et déchiffrement de LockBit
Si votre entreprise est déjà infectée, la suppression du ransomware LockBit en lui-même ne vous donnera pas accès à vos fichiers. Vous aurez toujours besoin d'un outil pour restaurer votre système car le déchiffrement nécessite une clé. Vous pouvez également être en mesure de restaurer vos systèmes en créant de nouvelles images système si vous disposez d'images de sauvegarde pre-infection déjà créées.
Comment se protéger contre le ransomware LockBit ?
Vous devrez à terme configurer des mesures de protection pour garantir que votre entreprise résiste aux attaques malveillantes et aux ransomwares. Voici quelques conseils pratiques pour vous aider à vous préparer :
- Implémentez des mots de passe forts. De nombreuses violations de comptes surviennent en raison de mots de passe faciles à deviner ou trop simples à découvrir pour un algorithme après quelques jours d'analyse. Choisissez un mot de passe sécurisé, long, comportant différents caractères et utilisant des règles personnelles pour créer des phrases de chiffrement.
- Activez l'authentification multi-facteur. Prévenez les attaques par force brute en ajoutant des niveaux à vos identifiants initiaux basés sur des mots de passe. Dans la mesure du possible, incluez des mesures comme la biométrique ou les authentificateurs via des clés USB physiques sur l'ensemble de vos systèmes.
- Réévaluez et simplifiez les autorisations de comptes utilisateurs. Limitez les autorisations à des niveaux plus stricts pour réduire le nombre de menaces potentielles. Prêtez particulièrement attention aux éléments accessibles par les utilisateurs de terminaux et les comptes informatiques avec des autorisations de niveau administrateur. Les domaines Web, les plateformes collaboratives, les services de réunion Web et les bases de données d'entreprise doivent être sécurisés.
- Supprimez les comptes utilisateurs obsolètes et inutilisés. Certains anciens systèmes contiennent parfois des comptes de salariés qui ont quitté l'entreprise, qui n'ont jamais été désactivés ni fermés. Assurez-vous que vos systèmes incluent l'élimination de ces failles potentielles.
- Assurez-vous que les configurations système sont conformes à toutes les procédures de sécurité. Cela peut prendre du temps, mais la vérification des configurations existantes peut permettre d'identifier de nouveaux problèmes et des politiques obsolètes qui exposent votre entreprise à un risque d'attaque. Les procédures opérationnelles standard doivent être réévaluées régulièrement pour faire face aux nouvelles cybermenaces.
- Disposez toujours de sauvegardes de l'ensemble du système et d'images machine locales propres déjà prêtes. Des incidents se produiront et la copie hors ligne constituera l'unique véritable protection contre la perte définitive des données. Votre entreprise doit régulièrement créer des sauvegardes, à actualiser en cas de modifications majeures apportées à vos systèmes. Si une sauvegarde est corrompue par un programme malveillant, pensez à disposer de plusieurs points de sauvegarde de rotation pour pouvoir sélectionner une période propre.
Articles connexes :