Quest-ce que le ransomware LockBit 3.0 ? Que faire pour léviter ?

Le vol, l’extorsion et l’usurpation d’identité sont monnaie courante en ligne, et des milliers de personnes sont victimes chaque mois de diverses escroqueries et attaques. L'une de ces méthodes d'attaque utilise un type de ransomware appelé LockBit 3.0. Alors d’où vient ce ransomware, comment est-il utilisé et que pouvez-vous faire pour vous protéger ?

D’où vient LockBit 3.0 ?

LockBit 3.0

LockBit 3.0 (également connu sous le nom de LockBit Black) est une famille de ransomwares née de la famille des ransomwares LockBit. Il s’agit d’un groupe de programmes ransomware qui ont été découverts pour la première fois en septembre 2019, après la première vague d’attaques. Initialement, LockBit était appelé « virus .abcd », mais à l'époque, on ne savait pas que les créateurs et les utilisateurs de LockBit continueraient à créer de nouvelles versions du programme ransomware original.

La famille de ransomwares de LockBit se propage, mais seules certaines victimes sont ciblées, principalement celles qui peuvent se permettre de payer une rançon importante. Ceux qui utilisent le ransomware LockBit achètent souvent un accès RDP (Remote Desktop Protocol) sur le dark web afin de pouvoir accéder aux appareils des victimes plus à distance et plus facilement.

Les opérateurs de LockBit ont ciblé plusieurs organisations à travers le monde depuis sa première utilisation, notamment au Royaume-Uni, aux États-Unis, en Ukraine et en France. Cette famille de programmes malveillants utilise un modèle Ransomware-as-a-Service (RaaS), dans lequel les utilisateurs peuvent payer des opérateurs pour accéder à un certain type de ransomware. Cela implique généralement une certaine forme d’enregistrement. Parfois, les utilisateurs peuvent même consulter les statistiques pour voir si l’utilisation du ransomware LockBit a réussi ou non.

Ce n'est qu'en 2021 que LockBit est devenu un ransomware populaire, grâce à LockBit 2.0 (le prédécesseur de la souche actuelle de ransomware). À ce stade, les gangs utilisant ce ransomware ont décidé d’adopter un modèle de double extorsion. Cela implique à la fois le cryptage et l'exfiltration (ou transfert) des fichiers de la victime vers un autre appareil. Cette méthode d’attaque supplémentaire rend la situation plus effrayante pour la personne ou l’organisation ciblée.

Le type de ransomware LockBit le plus récent identifié est LockBit 3.0. Alors, comment fonctionne LockBit 3.0 et comment est-il utilisé aujourd’hui ?

Qu'est-ce que LockBit 3.0 ?

LockBit 3.0 peut crypter et exfiltrer tous les fichiers de l'appareil infecté

À la fin du printemps 2022, une nouvelle version du groupe de ransomwares LockBit a été découverte : LockBit 3.0. En tant que programme ransomware, LockBit 3.0 peut crypter et exfiltrer tous les fichiers d'un appareil infecté, permettant aux attaquants de garder les données de la victime en otage jusqu'à ce que la rançon demandée soit payée. Ce ransomware est actuellement très répandu et suscite de nombreuses inquiétudes.

Le déroulement d’une attaque LockBit 3.0 typique est le suivant :

1. LockBit 3.0 infecte l'appareil de la victime, crypte les fichiers et attache l'extension de fichier cryptée « HLjkNskOq ».

2. Ensuite, une clé d'argument de ligne de commande appelée « -pass » est nécessaire pour effectuer le chiffrement.

3. LockBit 3.0 crée de nombreux threads différents pour effectuer plusieurs tâches simultanément, afin que le cryptage des données puisse être effectué en moins de temps.

4. LockBit 3.0 supprime certains services ou fonctionnalités pour faciliter grandement le processus de cryptage et de filtrage.

5. Une API est utilisée pour contenir l'accès à la base de données du gestionnaire de contrôle des services.

6. Le fond d'écran de l'ordinateur de la victime est modifié afin qu'elle sache qu'elle est attaquée.

Si les victimes ne paient pas la rançon dans le délai imparti, les attaquants de LockBit 3.0 vendront alors les données qu'ils ont volées sur le dark web à d'autres cybercriminels. Cela peut être désastreux tant pour la victime que pour l’organisation.

A l'heure où nous rédigeons ces lignes, LockBit 3.0 exploite notamment Windows Defender pour déployer Cobalt Strike . Ce logiciel peut également provoquer une chaîne d’infections par des logiciels malveillants sur plusieurs appareils.

Au cours de ce processus, l'outil de ligne de commande MpCmdRun.exe est exploité afin que l'attaquant puisse décrypter et lancer des avertissements. Cela se fait en incitant le système à prioriser et à charger une DLL (Dynamic-Link Library) malveillante.

Le fichier exécutable MpCmdRun.exe est utilisé par Windows Defender pour rechercher les logiciels malveillants, protégeant ainsi l'appareil contre les fichiers et programmes nuisibles. Cobalt Strike peut contourner les mesures de sécurité de Windows Defender, il est donc devenu très utile pour les attaquants de ransomware.

Cette technique est également connue sous le nom de chargement latéral et permet à des acteurs malveillants de voler des données sur des appareils infectés.

Comment empêcher le rançongiciel LockBit 3.0 ?

LockBit 3.0 constitue une préoccupation croissante, en particulier parmi les grandes organisations disposant de nombreuses données pouvant être cryptées et exfiltrées. Il est important de veiller à éviter ce type d’attaque dangereuse.

Pour ce faire, vous devez d'abord vous assurer que vous utilisez des mots de passe ultra-forts et une authentification à deux facteurs sur tous vos comptes. Cette couche de sécurité supplémentaire peut rendre plus difficile aux cybercriminels de vous attaquer avec des ransomwares. Par exemple, considérons les attaques de ransomware Remote Desktop Protocol. Dans un tel cas, l’attaquant analysera Internet à la recherche de connexions RDP vulnérables. Ainsi, si votre connexion est protégée par mot de passe et utilise 2FA, vous êtes beaucoup moins susceptible d'être ciblé.

De plus, vous devez toujours maintenir à jour le système d’exploitation et le programme antivirus de votre appareil. Les mises à jour logicielles peuvent prendre du temps et être ennuyeuses, mais elles existent pour une raison. Ces mises à jour sont souvent accompagnées de corrections de bugs et de fonctionnalités de sécurité supplémentaires pour protéger votre appareil et vos données, alors ne manquez pas l'opportunité de mettre à jour votre appareil.

Une autre mesure importante à prendre pour éviter les attaques de ransomwares consiste à sauvegarder les fichiers. Parfois, les attaquants de ransomware retiennent des informations importantes dont vous avez besoin pour diverses raisons. Une sauvegarde atténuera donc les dégâts dans une certaine mesure. Les copies hors ligne, telles que celles stockées sur des clés USB, peuvent s'avérer inestimables lorsque des données sont volées ou supprimées de votre appareil.

Mesures après avoir été infecté par un ransomware

Bien que les suggestions ci-dessus puissent vous protéger contre le ransomware LockBit, il est toujours possible de l'infecter. Ainsi, si vous découvrez que votre ordinateur a été infecté par le virus LockBit 3.0, il est important de ne pas agir à la hâte. Vous pouvez prendre certaines mesures pour supprimer les ransomwares de votre appareil et vous devez les suivre attentivement.

Vous devez également informer les autorités si vous êtes victime d'une attaque de ransomware. Cela aide les parties prenantes à mieux comprendre et gérer certains types de ransomwares.

Personne ne sait combien de fois encore le ransomware LockBit 3.0 sera utilisé pour menacer et exploiter les victimes. C'est pourquoi il est important de protéger vos appareils et vos comptes de toutes les manières possibles afin que vos données sensibles restent en sécurité.