Lock

Les attaques de ransomware LockBit évoluent constamment en utilisant un large éventail de techniques pour infecter les cibles tout en prenant des mesures pour désactiver les solutions de sécurité des terminaux.

« Les affiliés qui utilisent les services de LockBit mènent leurs attaques selon leurs préférences et utilisent différents outils et techniques pour atteindre leur objectif », analysent Loïc Castel et Gal Romano, analystes en sécurité chez Cybereason. a dit. « Au fur et à mesure que l’attaque progresse le long de la chaîne de destruction, les activités de différents cas ont tendance à converger vers des activités similaires. »

LockBit, qui fonctionne sur un modèle de ransomware en tant que service (RaaS) comme la plupart des groupes, a été observé pour la première fois en septembre 2019 et est depuis devenu la souche de ransomware la plus dominante cette année, dépassant d’autres groupes bien connus comme Conti, Hive , et Black Cat.

Cela implique que les auteurs de logiciels malveillants autorisent l’accès aux affiliés, qui exécutent les attaques en échange de l’utilisation de leurs outils et de leur infrastructure et gagnent jusqu’à 80 % de chaque paiement de rançon réussi reçu des victimes.

LockBit utilise également la technique populaire de la double extorsion pour exfiltrer de grandes quantités de données avant de chiffrer les actifs de la cible, faisant au syndicat cybercriminel pas moins de 850 victimes sur son site de fuite de données en mai 2022.

Publicité
Cycle De Vie De L'attaque
Cycle de vie des attaques – Étude de cas 1
Lockbit 2
Cycle de vie des attaques – Étude de cas 2

Selon un analyse des données du site de fuite par Palo Alto Networks Unit 42, LockBit représentait 46% de tous les événements de violation liés aux ransomwares pour le premier trimestre 2022. Rien qu’en juin, le groupe a été lié à 44 attaquesce qui en fait la souche de ransomware la plus active.

Les attaques de rançongiciel LockBit sont connues pour utiliser plusieurs voies d’infection initiale : exploiter les ports RDP exposés au public, s’appuyer sur des e-mails de phishing pour télécharger des charges utiles malveillantes ou exploiter des failles de serveur non corrigées qui permettent aux affiliés d’accéder à distance au réseau ciblé.

Cette étape est suivie d’activités de reconnaissance et de vol d’informations d’identification, qui permettent aux acteurs de se déplacer latéralement sur le réseau, d’établir la persistance, d’élever les privilèges et de lancer le ransomware. Cela s’accompagne également de l’exécution de commandes pour supprimer les sauvegardes et subvertir la détection par les pare-feu et les logiciels antivirus.

Au cours des trois années qui ont suivi l’apparition de LockBit sur la scène, le système RaaS a reçu deux mises à niveau notables, les acteurs de la menace faisant leurs débuts avec LockBit 2.0 en juin 2021 et lançant le troisième volet du service, LockBit 3.0, le mois dernier avec prise en charge du paiement par crypto-monnaie Zcash. options et un programme de primes de bogues – le premier pour un groupe de rançongiciels.

La Cyber-Sécurité

L’initiative prétend offrir des récompenses allant jusqu’à 1 million de dollars pour trouver des angles morts de sécurité dans son site Web et son logiciel de casier, soumettre des idées brillantes, doxer le chef du programme d’affiliation du gang ou identifier des moyens qui pourraient exposer l’adresse IP du serveur hébergeant le site Web. sur le réseau TOR.

Le programme de primes aux bogues est un autre signe que les groupes de pirates fonctionnent de plus en plus comme des entreprises informatiques légitimes, intégrant des services RH, des versions régulières de fonctionnalités et même des bonus pour résoudre des problèmes difficiles.

Cependant, il semble que LockBit 3.0, également appelé LockBit Black, s’inspire d’une autre famille de rançongiciels connue sous le nom de BlackMatter, une version renommée de DarkSide qui a fermé ses portes en novembre 2021.

« De grandes parties du code sont extraites directement de BlackMatter/Darkside », a déclaré Fabian Wosar, chercheur chez Emsisoft. a dit dans un tweet plus tôt cette semaine. « Je suppose qu’il est clair que LockBit a mis la main sale sur le code d’un autre groupe. »


Rate this post
Publicité
Article précédentL’acquisition d’Elon Musk sur Twitter en « grave danger » à cause d’un problème de faux comptes
Article suivantLe grand-père de Brisbane, Phillip Savage, luttant contre le cancer du foie, dupé par une arnaque à la crypto-monnaie de célébrités
Avatar De Violette Laurent
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici