LockBit Reborn : À l’intérieur de l’évolution du groupe après sa suppression

Résumé

LockBit est une opération de ransomware-as-a-service (RaaS) de longue date, active depuis 2019, qui s’appuie sur des tactiques de double extorsion. Après une importante opération de démantèlement des forces de l’ordre en février 2024, le groupe a réapparu avec de nouvelles versions, incluant LockBit-NG-Dev et LockBit 5.0. Ces dernières variantes introduisent la compatibilité multiplateforme, des défenses anti-analyse plus robustes et un comportement post-chiffrement plus destructeur. L’opération continue de cibler des organisations de grande valeur dans de multiples secteurs à travers le monde.

Enquête

Le rapport retrace la progression de LockBit depuis la version 3.0 (LockBit Black), à travers la version expérimentale LockBit-NG-Dev, jusqu’à l’itération actuelle 5.0. Il détaille les aspects techniques tels que les routines cryptographiques personnalisées, la réflexion DLL, l’utilisation de .NET CoreRT, la compression MPRESS et une forte utilisation des noms de service hachés pour arrêter les processus et services. Les changements comportementaux documentés incluent des modes d’exécution « invisibles », le détournement ETW et l’effacement automatique des journaux. L’analyse couvre également la perturbation de l’infrastructure effectuée dans le cadre de l’opération Cronos.

Atténuation

Les défenseurs doivent maintenir des sauvegardes hors ligne et immutables et vérifier régulièrement leurs procédures de restauration. Déployer une détection des endpoints qui recherche les comportements typiques de ransomware, notamment une activité PowerShell suspecte, l’utilisation de commandes d’administration VSS et la création anormale de mutex. Limitez l’utilisation des comptes privilégiés, contraignez les techniques de duplication de jetons et bloquez les domaines LockBit C2 connus tout en surveillant les modèles de trafic TLS anormaux.

Réponse

Lorsqu’une activité LockBit est détectée, isolez immédiatement le système compromis, capturez la mémoire volatile et collectez toutes les données de journal pertinentes. Identifiez et bloquez l’hôte C2, terminez le processus de ransomware et conservez la valeur mutex pour un travail judiciaire ultérieur. Commencez la restauration à partir de sauvegardes fiables et faites appel aux équipes de réponse aux incidents internes ou externes. Partagez les indicateurs de compromission avec les communautés de renseignement sur les menaces et de partage d’informations concernées.

Exécution de simulation

Prérequis : La vérification pré-vol du télémétrie et de la base de référence doit avoir réussi.

Justification : Cette section détaille l’exécution précise de la technique des adversaires (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTP identifiés et viser à générer la télémétrie exacte attendue par la logique de détection.

• Récit de l’attaque et commandes :
  L’attaquant a déjà placé le binaire du ransomware sur le système victime. Pour masquer les traces, le ransomware invoque fsutil.exe pour écraser son propre fichier avec des octets nuls, effaçant ainsi son exécutable du disque. Cela est effectué après que la charge utile a terminé sa phase de chiffrement. Les étapes sont :

  1. Déterminez le chemin de l’exécutable du ransomware en cours d’exécution ($MyPath).
  2. Appelez fsutil.exe file setZeroData sur $MyPath avec le drapeau 0 pour annuler l’intégralité du fichier.
  3. Optionnellement, supprimez le fichier désormais vide pour retirer l’entrée du système de fichiers.

  Cette séquence produit un événement de création de processus où Image=*fsutil.exe* et CommandLine=*file setZeroData <path>*, correspondant à la règle Sigma.

• Script de test de régression :

  # Simulez l'auto-suppression de LockBit-NG-Dev via fsutil
  # 1. Créez un exécutable « malveillant » factice (simule le binaire du ransomware)
  $maliciousPath = "$env:TEMPmalicious.exe"
  Set-Content -Path $maliciousPath -Value ([byte[]](0..255)) -Encoding Byte -Force
  
  # 2. Vérifiez que le fichier existe et sa taille (optionnel)
  Write-Host "Créé un ransomware fictif à $maliciousPath (Taille : $(Get-Item $maliciousPath).Length octets)"
  
  # 3. Écrasez le fichier avec des octets nuls à l'aide de fsutil
  Write-Host "Écrasant le fichier avec des zéros à l'aide de fsutil..."
  fsutil.exe file setZeroData $maliciousPath 0
  
  # 4. Optionnel : supprimez le fichier désormais vide pour retirer complètement les traces
  Write-Host "Suppression du fichier annulé..."
  Remove-Item -Path $maliciousPath -Force
  
  Write-Host "Simulation complète. Vérifiez la détection dans SIEM."

• Commandes de nettoyage :

  # Assurez-vous que tous les artefacts restants sont supprimés
  $maliciousPath = "$env:TEMPmalicious.exe"
  if (Test-Path $maliciousPath) {
      Remove-Item -Path $maliciousPath -Force
      Write-Host "Fichier restant supprimé $maliciousPath"
  } else {
      Write-Host "Aucun artefact restant trouvé."
  }