lundi, 7 octobre 2024

Comment LockBit est devenu le ransomware le plus populaire

Crédit : Dreamstime

LockBit est l’une des opérations de ransomware en tant que service (RaaS) les plus importantes qui a ciblé les organisations au cours des dernières années. Depuis son lancement en 2019, LockBit a constamment évolué, enregistrant une croissance sans précédent récemment tirée par la dissolution d’autres gangs de ransomwares.

Les créateurs de LockBit vendent l’accès au ransomware et son infrastructure aux cybercriminels tiers connus sous le nom d’affiliés qui pénètrent dans les réseaux et le déploient sur les systèmes pour une réduction pouvant aller jusqu’à 75 % cent de l’argent versé par les victimes en rançons.

Comme la plupart des gangs RaaS similaires, LockBit se livre à des tactiques de double extorsion où ses affiliés exfiltrent également des données hors des organisations de victimes et menacent de les publier en ligne.

Selon un rapport de la société de réponse aux incidents de ransomware Coveware, LockBit a représenté 15 % des attaques de ransomware que l’entreprise a vues au cours du premier trimestre 2022, juste derrière Conti avec 16 %. Dans un rapport plus récent, la société de cybersécurité NCC Group a indiqué que LockBit était responsable de 40 % des attaques de ransomwares que la société a vues en mai, suivi de Conti.

Alors que le nombre d’incidents de rançongiciels a globalement diminué ces derniers mois, le pourcentage que LockBit représente est susceptible d’augmenter, en partie parce que le On pense que l’opération Conti s’est arrêtée ou scindé en petits groupes et parce que LockBit essaie d’attirer plus d’affiliés prétendant offrir de meilleures conditions que ses concurrents.

Comment LockBit a évolué

Cette menace de ransomware était à l’origine connue sous le nom d’ABCD d’après l’extension de fichier .abcd qu’elle laissait sur les fichiers chiffrés. Le programme d’affiliation RaaS a été lancé au début de 2020 et le site de fuite de données et l’ajout d’extorsion de fuite de données ont été annoncés plus tard cette année-là.

LockBit est resté un acteur relativement petit au cours de sa première année de fonctionnement, d’autres gangs de haut niveau ayant plus de succès et sous les projecteurs – Ryuk, REvil, Maze et autres. Le rançongiciel LockBit a commencé à gagner du terrain au second semestre 2021 avec le lancement de LockBit 2.0 et après que certains des autres gangs aient cessé leurs opérations après avoir attiré trop de chaleur.

LockBit 2.0 était  » la variante de ransomware la plus percutante et la plus largement déployée que nous ayons observée dans toutes les violations de ransomware au cours du premier trimestre 2022, en tenant compte à la fois des données du site de fuite et des données des cas traités par les intervenants de l’Unité 42″, des chercheurs de Palo Alto L’unité 42 des réseaux a déclaré dans un rapport.

Le site LockBit 2.0 que le gang utilise pour publier des données d’organisations dont ils ont piraté les réseaux répertorie 850 victimes, mais le gang affirme avoir rançonné plus de 12 125 organisations à ce jour.

Le groupe affirme également que le rançongiciel LockBit 2.0 possède la routine de chiffrement la plus rapide, ce qui n’est que partiellement vrai selon tests par des chercheurs de Splunk. LockBit 1.0 et un programme de ransomware connu sous le nom de PwndLocker semblent être plus rapides que LockBit 2.0, mais la routine de chiffrement est toujours très rapide en partie parce que ces menaces effectuent un chiffrement partiel.

LockBit 2.0, par exemple, ne crypte que les 4 premiers Ko de chaque fichier, ce qui est suffisant pour les rendre illisibles et inutilisables tout en permettant à l’attaque de se terminer très rapidement avant que les intervenants en cas d’incident n’aient le temps d’arrêter les systèmes et de les isoler du réseau.

Comment LockBit sélectionne-t-il et cible-t-il les victimes ?

Étant donné que de nombreux affiliés distribuent LockBit, les vecteurs d’accès qu’ils utilisent sont variés : de e-mails de spear-phishing avec des pièces jointes malveillantes pour exploiter les vulnérabilités des applications publiques et utiliser des informations d’identification VPN et RDP volées. Les affiliés de LockBit sont connus pour acheter également l’accès à d’autres parties.

Selon un public de 2021 entretien avec un membre présumé du gang LockBit, le groupe a pour politique de ne pas cibler les organisations opérant dans les secteurs de la santé, de l’éducation, de la charité et des services sociaux. Cependant, les affiliés de LockBit n’ont pas suivi ces directives dans certains cas et ont attaqué des organisations de la santé et de l’éducation, ont averti les chercheurs de Palo Alto.

Selon les données du site de fuite de données de LockBit, près de la moitié des organisations victimes provenaient des États-Unis, suivis de l’Italie, de l’Allemagne, du Canada, de la France et du Royaume-Uni. L’accent mis sur les organisations nord-américaines et européennes est dû à la prévalence plus élevée de la cyberassurance dans ces régions ainsi qu’à des revenus plus élevés, a déclaré le membre du gang LockBit dans l’ancienne interview.

Les secteurs industriels les plus touchés sont les services professionnels et juridiques, la construction, le gouvernement fédéral, l’immobilier, la vente au détail, la haute technologie et la fabrication. Le malware contient également du code qui empêche son exécution sur les systèmes avec des paramètres de langue d’Europe de l’Est.

Il convient également de noter que le gang LockBit a développé un programme malveillant distinct appelé StealBit qui peut être utilisé pour automatiser l’exfiltration de données. Cet outil télécharge les données directement sur les serveurs de LockBit au lieu d’utiliser des services d’hébergement de fichiers publics qui pourraient supprimer les données suite aux plaintes des victimes. Le gang a également développé un outil appelé LockBit Linux-ESXi Locker pour chiffrer les serveurs Linux et les machines virtuelles VMware ESXi.

Le temps que les attaquants LockBit passent à l’intérieur d’un réseau avant de déployer le ransomware a diminué au fil du temps, passant d’environ 70 jours au quatrième trimestre 2021 à 35 jours au premier trimestre 2022 et à moins de 20 jours au deuxième trimestre 2022. 

Cela signifie que les organisations ont moins de temps pour détecter les intrusions sur le réseau à leurs débuts et empêcher le déploiement du ransomware. La volonté des attaquants de négocier et de réduire le montant de la rançon a également diminué selon Palo Alto Networks. L’année dernière, les attaquants étaient prêts à réduire le montant de la rançon de plus de 80 %, alors que les victimes ne peuvent désormais s’attendre qu’à une baisse de prix de 30 % en moyenne.

Comment LockBit effectue-t-il le mouvement latéral et l’exécution de la charge utile ?

Après avoir obtenu un accès initial aux réseaux, les affiliés de LockBit déploient divers outils pour étendre leur accès à d’autres systèmes.

Ces outils impliquent des dumpers d’informations d’identification comme Mimikatz ; des outils d’escalade de privilèges comme ProxyShell, des outils utilisés pour désactiver les produits de sécurité et divers processus tels que GMER, PC Hunter et Process Hacker ; des scanners de réseau et de port pour identifier les contrôleurs de domaine Active Directory, des outils d’exécution à distance comme PsExec ou Cobalt Strike pour les mouvements latéraux. L’activité implique également l’utilisation de scripts PowerShell et batch obfusqués et de tâches planifiées malveillantes pour la persistance.

Une fois déployé, le rançongiciel LockBit peut également se propager à d’autres systèmes via des connexions SMB en utilisant les informations d’identification collectées ainsi qu’en utilisant les stratégies de groupe Active Directory. Une fois exécuté, le ransomware désactivera les clichés instantanés de volumes Windows et supprimera divers journaux système et de sécurité.

Le logiciel malveillant collecte ensuite des informations système telles que le nom d’hôte, les informations de domaine, la configuration du lecteur local, les partages distants et les périphériques de stockage montés, puis commence à chiffrer toutes les données sur les périphériques locaux et distants auxquels il peut accéder. Cependant, il ignore les fichiers qui empêcheraient le système de fonctionner. À la fin, il dépose une note de rançon en changeant le fond d’écran de l’utilisateur avec des informations sur la façon de contacter les attaquants.

La routine de chiffrement de fichier utilise AES et avec une clé générée localement qui est ensuite chiffrée à l’aide d’une clé publique RSA. Le logiciel malveillant ne crypte que les 4 premiers Ko de chaque fichier et leur ajoute l’extension « .lockbit ».

Le FBI a publié une alerte publique à propos de LockBit en février qui contient des indicateurs de compromission tirés d’incidents enquêtés sur le terrain, ainsi que des recommandations pour les organisations.

LockBit 3.0 et son programme de primes aux bogues

En juin, les créateurs de LockBit ont annoncé la version 3.0 de leur programme d’affiliation et des logiciels malveillants après l’avoir apparemment en test bêta pendant deux mois. Le gang a également lancé un programme de primes aux bogues qui offre entre 1 000 et 1 million de dollars pour les vulnérabilités du programme de ransomware et de l’infrastructure du gang, comme son site Web hébergé par Tor, sa messagerie sécurisée, etc.

Le gang est même allé jusqu’à lancer un défi d’un million de dollars à quiconque parvient à découvrir l’identité de la personne qui gère son programme d’affiliation, demandant essentiellement que son membre le mieux classé soit doxxed.

Ce n’est pas la première fois que LockBit se livre à des pratiques inhabituelles. Ses notes de rançon comprennent des offres financières aux initiés qui peuvent fournir un accès aux réseaux et aux organisations et son programme de primes aux bogues offre également des récompenses pour des idées sur la façon d’améliorer le fonctionnement, les logiciels et l’infrastructure des rançongiciels que le gang n’a pas encore envisagés.

Alors que les modifications techniques apportées au LockBit 3.0 lui-même, les captures d’écran partagées par LockBit suggèrent que la crypto-monnaie Zcash sera acceptée pour les paiements de rançon avec Bitcoin et Monero dans la nouvelle version. L’ajout de Zcash pourrait être une tentative de rendre les paiements plus difficiles à retracer.

Selon les chercheurs de Palo Alto, l’ajout du programme Bug Bounty pourrait avoir été motivé par la découverte d’un bogue dans LockBit 2.0 qui permettait la réversion du processus de chiffrement sur les bases de données MSSQL.

Début juin, la société de cybersécurité Mandiant a publié un rapport connectant certaines intrusions de LockBit à un acteur menaçant identifié comme UNC2165 qui a utilisé le rançongiciel Hades dans le passé et dont les activités se chevauchent de manière significative avec Evil Corp, un groupe de cybercriminels notoire qui figure sur la liste des entités sanctionnées du département du Trésor.

Evil Corp est responsable de la création du Botnet Dridex, le WastedLocker ransomware et d’autres menaces dans le passé et envoyer des paiements de rançon aux cybercriminels qui lui sont associés est en violation des sanctions .

« L’adoption d’un rançongiciel existant est une évolution naturelle pour UNC2165 pour tenter de dissimuler son affiliation avec Evil Corp », ont déclaré les chercheurs de Mandiant. « La proéminence de LockBit ces dernières années et son utilisation réussie par plusieurs clusters de menaces différents ont probablement fait du ransomware un choix attrayant.

« L’utilisation de ce RaaS permettrait à l’UNC2165 de se fondre dans d’autres affiliés, nécessitant une visibilité sur les étapes antérieures du cycle de vie de l’attaque pour attribuer correctement l’activité, par rapport aux opérations antérieures qui auraient pu être attribuées à l’utilisation d’un ransomware exclusif. »

Le gang LockBit a par la suite rejeté ces connexions comme fausses et a publié une déclaration disant qu’elle n’avait rien à voir avec Evil Corp et son chef présumé Maxim Yakubets, qui figure sur la liste des Cyber ​​les plus recherchés du FBI.

.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

xnxx sex download russianporntrends.com hardxxxpics saboten campus freehentai4u.com read manga porn rakhi sex photo ganstagirls.com nani sex video xxx indian girl video download elporno.mobi tamilauntycom bf hd video bf hd video porn555.me anyporn hd tamil beach sex erolenta.com xxx sex boy to boy bustyboobs pakistanixxxx.com nude sexy videos desi sex xvideos.com tubaka.mobi justdesi in free naked dance vegasmpegs.mobi eva grover desi ass lick eroanal.net 69 xvideo 4k xnxx thefuckingtube.com xxii roman numerals translation tamil nayanthara sex sexozavr.com indian porn videos tumblr كلبات سكس porn-arab.net نيك ف الكس y3df comics popsexy.net akhil wife hentai ahri wowhentai.net the sarashina bloodline