Détection du Ransomware LockBit 3.0 : Opération Réinventée
Table des matières :
LockBit revient, introduisant une nouvelle souche de leur ransomware, LockBit 3.0. Les adversaires ont surnommé leur dernière version LockBit Black, l’améliorant avec de nouvelles tactiques d’extorsion et introduisant une option de paiement en Zcash, en plus des options de paiement en crypto existantes Bitcoin et Monero.
Cette fois, les hackers LockBit font les gros titres en lançant le premier programme de bug bounty jamais lancé par un gang de cybercriminalité. Dans leur appel aux hackers de tous types, les adversaires promettent une récompense monétaire pour une soumission de bug ou d’idée d’amélioration allant de 1000 $ à 1 million de $. Le prix le plus élevé est également offert à quiconque serait le premier à identifier le gestionnaire d’affiliés, connu sous le nom de LockBitSupp.
Détectez le malware LockBit 3.0
Pour aider les organisations à mieux protéger leur infrastructure, notre développeur de Threat Bounty perspicace Kaan Yeniyol a récemment publié la règle Sigma dédiée qui permet une détection rapide du malware LockBit 3.0. Les équipes de sécurité peuvent télécharger ces règles depuis la plateforme Detection as Code de SOC Prime :
Exécution suspecte de Lockbit Black (3.0) par détection de commandes associées (via cmdline)
Cette détection a des traductions pour les plateformes SIEM, EDR & XDR suivantes : Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Chronicle Security, LimaCharlie, SentinelOne, Microsoft Defender ATP, CrowdStrike, Apache Kafka ksqlDB, Carbon Black, Securonix, Snowflake, et Open Distro.
La règle est mappée au cadre MITRE ATT&CK® v.10, répondant à la tactique d’Exécution avec l’interprète de commandes et de scripts (T1059) comme technique principale.
Êtes-vous désireux de créer vos propres règles Sigma et YARA pour rendre le monde plus sûr ? Rejoignez notre Programme de Développeurs pour obtenir des récompenses récurrentes pour vos contributions précieuses !
La liste complète des règles Sigma pour détecter toute souche de ransomware associée aux hackers LockBit est disponible pour tous les utilisateurs inscrits sur la plateforme Detection as Code. Appuyez sur le bouton Détecter et Traquer pour explorer des détections soigneusement sélectionnées et vérifiées. Les utilisateurs non inscrits peuvent accéder au kit dédié de règles pour le ransomware LockBit et aux métadonnées contextuelles pertinentes en appuyant sur le bouton Explorer le Contexte des Menaces .
Détecter et Traquer Explorer le Contexte des Menaces
Analyse LockBit 3.0
Le groupe LockBit est apparu pour la première fois en 2019, réapparaissant en juin 2021 avec la souche de ransomware LockBit 2.0. L’opération est considérée comme l’une des plus vigoureuses dans le paysage des menaces, se classant en tête du nombre de victimes de groupes aussi notoires que Black Basta,, Hive,et Conti..
L’équipe LockBit étend continuellement sa portée, introduisant des solutions innovantes et s’appropriant les formules éprouvées du marché des ransomwares. Les analystes en sécurité avertissent qu’il est actuellement difficile de prédire combien de modifications mises en œuvre dans l’opération LockBit 3.0 restent encore inconnues. Selon les données de recherche récemment révélées, LockBit Black présente des similitudes de code avec le ransomware BlackMatter, utilisé dans de nombreuses attaques de grande envergure l’été dernier. Les chercheurs spéculent que cela pourrait indiquer que d’anciens développeurs de BlackMatter auraient pu participer à l’écriture de la dernière souche LockBit.
Parmi les nouveautés récemment introduites telles que le paiement en Zcash et un programme de bug bounty, LockBit vend désormais les données volées des victimes.
Pour rechercher rapidement les signes de compromission par cette menace et d’autres menaces émergentes, tirez parti des avantages de la cyberdéfense collaborative en rejoignant notre communauté mondiale de cybersécurité sur la plateforme Detection as Code de SOC Prime. Profitez de détections précises et opportunes livrées par des professionnels chevronnés pour dynamiser les opérations et la posture de sécurité de votre équipe SOC.
