Détection du Ransomware LockBit
Table des matières :
Bien qu’étant un acteur relativement nouveau dans le domaine des cybermenaces, le ransomware LockBit a rapidement acquis la réputation d’une souche de logiciel malveillant prolifique et dangereuse. Durant 2020-2021, LockBit a été systématiquement inclus dans la liste des échantillons malveillants les plus actifs et notoires. Pour cela, les mainteneurs de LockBit exploitent le modèle Ransomware-as-a-Service (RaaS) pour impliquer plus de partenaires et poursuivre les attaques. De plus, ils appliquent une pratique de double extorsion pour mettre une pression supplémentaire sur les victimes et augmenter les chances de recevoir la rançon.
Qu’est-ce que le ransomware LockBit ?
Initialement, le ransomware LockBit a émergé en 2019 sous le nom de virus « ABCD ». Ce surnom est apparu en raison de l’extension de fichier ajoutée à tous les fichiers chiffrés. Depuis lors, le malware a considérablement amélioré son arsenal malveillant et a changé l’extension en .lockbit. Actuellement, LockBit est activement promu sur les forums clandestins, acquérant de nouveaux membres pour son programme RaaS. En 2020, des chercheurs ont estimé 75 000 $ gagnés par les vendeurs de LockBit via un programme d’affiliation.
Selon l’ analyse de Coveware, LockBit concentre ses efforts sur les entreprises de taille moyenne à grande ainsi que les entités gouvernementales. Pourtant, les mainteneurs du ransomware ont leur propre « code moral » et évitent de cibler les organisations liées aux soins de santé, syndicats et à l’éducation. De plus, LockBit interrompt son activité si l’adresse IP de la machine ciblée se situe dans la Communauté des États indépendants. La raison pourrait être l’origine du développeur, qui prétend vivre dans la région sibérienne de la Russie, selon l’ entretien avec l’équipe Cisco Talos. En outre, les statistiques montrent des taux très élevés de récupération de données payées accompagnées d’un court temps de récupération. Cela signifie que les opérateurs de malware tendent à respecter leurs engagements, ce qui est prétendu être une partie importante du modèle d’affaires de LockBit.
Néanmoins, il n’y a pas d’honneur parmi les voleurs, et LockBit cible de plus en plus les grandes entreprises pour réaliser des profits. L’objectif principal est les entreprises informatiques opérant aux États-Unis et en Europe. Les opérateurs de ransomware appliquent avec succès la pratique de la double extorsion, volant les données sensibles avant le chiffrement. Pour encourager les victimes à payer la rançon, les mainteneurs de LockBit publient régulièrement des dumps de données ainsi que des informations sur les dernières attaques sur un site web dédié. Les médias proéminents sont également impliqués pour faire du bruit autour de l’entreprise victime et attirer l’attention de ses partenaires commerciaux sur l’incident.
Coveware déclare qu’en mai 2021, le paiement moyen de rançon pour les victimes de LockBit est de 57 600 $. Cependant, cela corre habituellement avec la portée et l’échelle de l’entreprise ciblée et peut être bien plus important.
Méthodes d’attaque de LockBit
LockBit utilise une variété de méthodes sophistiquées pour poursuivre le processus d’infection. Notamment, c’est une souche de malware auto-répandue qui ne nécessite que quelques heures à l’intérieur du réseau pour se propager dans l’ensemble en chiffrant tous les actifs accessibles. Normalement les attaquants passent des jours ou des semaines à enquêter sur l’entreprise ciblée. LockBit, en revanche, s’appuie sur l’automatisation et profite de l’intrusion à vitesse éclair. En outre, le malware procède à la reconnaissance pendant la phase de chiffrement pour causer le maximum de dégâts.
Pour obtenir l’accès initial à l’environnement, LockBit s’appuie généralement sur des e-mails de phishing. Aussi, des vulnérabilités connues et des serveurs RDP sont couramment utilisés pour l’infection. Ensuite, le ransomware entre dans la phase de reconnaissance, utilisant des outils tels que Mimikatz, PowerShell et Cobal Strike pour la recherche et le mouvement latéral. SMB, les tables ARP et PowerShell sont utilisés pour la propagation. Enfin, LockBit s’exécute en mémoire, généralement avec une commande de Windows Management Instrumentation (WMI), et commence le chiffrement. Immédiatement après, une note de rançon est déposée dans plusieurs dossiers sur l’hôte.
Détection de LockBit
Pour prévenir d’éventuelles infections et protéger l’infrastructure de l’entreprise contre cette menace notoire, vous pouvez télécharger un ensemble de règles Sigma et YARA publiées par nos développeurs Threat Bounty sur le Threat Detection Marketplace.
Détection du ransomware LockBit
Détection de la charge utile du ransomware (LockBit)
La liste complète du contenu du Threat Detection Marketplace dédiée à la détection des attaques LockBit est disponible ici.
Abonnez-vous au Threat Detection Marketplace, une plateforme de Content-as-a-Service (CaaS) leader dans l’industrie qui alimente le flux de travail complet CI/CD pour la détection des menaces en fournissant un contenu SOC qualifié, multi-éditeur et multi-outils. Envie de créer votre propre contenu de détection et de participer à des initiatives de chasse aux menaces ? Rejoignez notre programme Threat Bounty et soyez récompensé pour votre contribution !
