Détection du Ransomware LockBit 2.0 : Une Menace Infâme Refait Surface avec de Nouvelles Techniques d’Attaque et Méthodes de Chiffrement
Table des matières :
Les opérateurs de LockBit accélèrent rapidement. Le gang est sur le radar des professionnels de la cybersécurité depuis 2019, se réinventant avec le lancement d’un rançongiciel LockBit version 2.0 en juin 2021. Le 07 février 2022, le Federal Bureau of Investigations (FBI) a publié des IOCs, avertissant des attaques de ransomware LockBit 2.0. Les données actuelles suggèrent que la nouvelle campagne est caractérisée par une exfiltration rapide des données et une exposition de l’information sensible volée.
Mise à niveau de LockBit 2.0
Depuis l’été 2021, le groupe LockBit est activement à la recherche de nouveaux affiliés. Le programme de recrutement a été un succès, et le nombre d’organisations touchées par le gang LockBit a augmenté régulièrement, tombant victime de techniques d’attaque et de méthodes d’extorsion nouvelles et plus efficaces. Parmi les victimes figurent des organisations de toutes tailles, y compris celles de la liste Fortune 500, des universités et des établissements de santé. La dernière mise à jour a équipé les adversaires d’un chiffrement automatique des dispositifs sur les domaines Windows en abusant des politiques de groupe Active Directory. LockBit 2.0 a commencé à faire de la publicité pour des initiés en août 2021 afin d’obtenir un accès initial aux réseaux des entreprises, promettant une part du produit d’une attaque réussie.
Chaîne de destruction de LockBit 2.0
LockBit 2.0 fonctionne en tant que Ransomware en tant que Service (RaaS) soutenu par des affiliés, adoptant un arsenal diversifié de tactiques, techniques et procédures (TTPs), obscurcissant l’efficacité des meilleures pratiques de défense et d’atténuation. Les adversaires ciblent les réseaux en employant des approches malveillantes telles que l’exploitation des vulnérabilités non corrigées, l’accès interne et les exploits de jour zéro. De plus, les opérateurs de LockBit sont connus pour l’achat d’accès à des cibles vulnérables compromises par des hackers tiers via des techniques de hameçonnage et des attaques par force brute sur les comptes RDP.
Lorsqu’un réseau est infiltré, les affiliés utilisent des applications sur mesure et légitimes, telles que Mimikatz, pour voler les informations d’authentification de la victime. Lockbit 2.0 analyse ensuite les paramètres système et de langue de l’utilisateur et ne cible que ceux qui ne correspondent pas à une liste de langues d’Europe de l’Est. L’application de rançongiciel n’étend pas l’infection si elle détecte une langue de l’Europe de l’Est sur l’appareil, ce qui indique l’origine de ses mainteneurs. LockBit 2.0 cible les fichiers journaux et les copies d’ombre; il collecte des informations système, visant le chiffrement de toutes les données sur les disques locaux et distants, à l’exception des fichiers nécessaires aux fonctions de base du système. Le logiciel malveillant auto-propagé se supprime du disque après l’accomplissement de l’opération de chiffrement. Les auteurs laissent toujours une note de rançon dans chaque répertoire impacté détaillant comment obtenir le logiciel de déchiffrement de leur part. La note de rançon menace également de publier les informations sensibles volées sur leur site de doxxage à moins qu’une rançon ne soit payée.
LockBit 2.0 a également développé un logiciel malveillant basé sur Linux qui exploite les vulnérabilités au sein des machines virtuelles VMWare ESXi.
Détection de logiciels malveillants LockBit 2.0
La nouvelle génération de LockBit 2.0 gagne rapidement en popularité, exerçant une forte pression sur les industries du monde entier. Pour vous protéger de cette menace croissante, vous pouvez télécharger un ensemble de règles Sigma publié par nos développeurs de Threat Bounty compétents Nattatorn Chuensangarun and Kaan Yeniyol:
Force de la politique GPO contre les rançongiciels LockBit 2.0 (via process_creation)
Détectez le rançongiciel LockBit 2.0 via le Registre
Canal nommé du rançongiciel LockBit 2.0
La liste complète du contenu du Threat Detection Marketplace consacré à la détection des attaques LockBit est disponible ici.
De plus, nous vous recommandons d’examiner les Directives sectorielles : Défense contre les attaques par rançongiciels fournies par Vlad Garaschenko, CISO chez SOC Prime. Ces directives couvrent les meilleures pratiques de défense contre les rançongiciels et proposent une vue approfondie des statistiques de rançongiciels, des tendances majeures et des Tactics, Techniques, and Procedures (TTPs) appliqués par les principaux gangs de rançongiciels.
Pour garder une longueur d’avance sur les acteurs des rançongiciels, vous pouvez également télécharger un paquet de règles de détection des rançongiciels de SOC Prime qui regroupe plus de 35 détections pour repérer des échantillons aussi néfastes que Ruyk, DoppelPaymer, Conti, LockBit, Avaddon, et plus encore. Toutes les règles sont directement mappées au cadre MITRE ATT&CK® et enrichies du contexte et de l’intelligence correspondants à la menace.
Inscrivez-vous gratuitement sur la plateforme Detection as Code de SOC Prime pour rationaliser vos opérations SOC avec les meilleures pratiques et l’expertise partagée. Envie de créer votre propre contenu de détection et de participer à des initiatives de chasse aux menaces ? Exploitez la puissance de la communauté mondiale de cybersécurité et monétisez votre contribution.
