Tout ce que vous devez savoir sur la famille de ransomwares LockBit

Si vous vous tenez régulièrement au courant des menaces de cybersécurité, vous savez probablement à quel point les ransomwares sont devenus dangereusement répandus . Ce type de malware constitue une menace majeure pour les individus et les organisations, plusieurs souches devenant désormais le premier choix des acteurs malveillants, notamment LockBit.

Alors, qu’est-ce que LockBit, d’où vient-il et comment pouvez-vous vous protéger contre ce ransomware ?

Qu’est-ce que le ransomware LockBit ?

Bien que LockBit ait commencé comme une seule famille de ransomwares, il a depuis évolué plusieurs fois, la dernière version étant appelée « LockBit 3.0 ». LockBit comprend une famille de programmes ransomware, fonctionnant sur le modèle Ransomware-as-a-Service (RaaS).

Le Ransomware-as-a-Service est un modèle commercial dans lequel les utilisateurs paient pour accéder à un certain type de ransomware afin de pouvoir l'utiliser pour leurs propres attaques. Grâce à cela, cet utilisateur devient un affilié et son paiement peut consister en un forfait ou en un service par abonnement. Bref, les créateurs de LockBit ont trouvé un moyen de tirer davantage profit de son utilisation en utilisant ce modèle RaaS et peut-être même d'obtenir une rançon payée par la victime.

Plusieurs autres programmes de ransomware sont accessibles via le modèle RaaS, notamment DarkSide et REvil. En outre, LockBit est l’un des ransomwares les plus populaires utilisés aujourd’hui.

Etant donné que LockBit est une famille de ransomwares, son utilisation consiste à chiffrer les fichiers de la cible. Les cybercriminels infiltreront l'appareil de la victime d'une manière ou d'une autre, peut-être via des e-mails de phishing ou des pièces jointes malveillantes, et utiliseront ensuite LockBit pour crypter tous les fichiers de l'appareil afin qu'ils soient inaccessibles à l'utilisateur.

Une fois les fichiers de la victime chiffrés, l'attaquant demandera alors une rançon en échange de la clé de décryptage. Si la victime ne s’exécute pas et ne paie pas la rançon, il est probable que l’attaquant vende ensuite les données sur le dark web dans un but lucratif. Selon la nature des données, cela pourrait causer des dommages irréversibles à la vie privée d'un individu ou d'une organisation, ce qui pourrait accroître la pression pour payer la rançon.

Mais d’où vient ce ransomware extrêmement dangereux ?

Origine du rançongiciel LockBit

On ne sait pas exactement quand LockBit a été développé, mais il est reconnu depuis 2019, date à laquelle il a été découvert pour la première fois. Cette découverte intervient après la première vague d'attaques LockBit, lorsque le ransomware était initialement nommé « ABCD » en référence aux noms d'extension des fichiers cryptés exploités dans les attaques. Mais lorsque les attaquants ont commencé à utiliser l'extension de fichier « .lockbit », le nom du ransomware a changé pour devenir ce qu'il est aujourd'hui.

La popularité de LockBit a augmenté après le développement de sa deuxième version, LockBit 2.0. Fin 2021, LockBit 2.0 était de plus en plus utilisé pour des attaques, et alors que d'autres gangs de ransomwares fermaient leurs portes, LockBit a pu profiter de l'écart du marché.

En fait, l'adoption croissante de LockBit 2.0 a consolidé sa position de « variante de ransomware la plus largement déployée et la plus percutante que nous ayons observée parmi toutes les violations de ransomware » au premier trimestre 2022, selon un rapport de Palo Alto. En plus de cela, Palo Alto a déclaré dans le même rapport que les opérateurs de LockBit prétendent disposer du logiciel de cryptage le plus rapide de tous les ransomwares actuellement actifs.

Le ransomware LockBit a été détecté dans de nombreux pays du monde, notamment en Chine, aux États-Unis, en France, en Ukraine, au Royaume-Uni et en Inde. Plusieurs grandes organisations ont également été ciblées à l’aide de LockBit, notamment Accenture, une société de services professionnels irlando-américaine.

Accenture a subi une violation de données à l'aide de LockBit en 2021, les attaquants exigeant une rançon énorme de 50 millions de dollars, avec plus de 6 To de données cryptées. Accenture n'a pas accepté de payer cette rançon, même si l'entreprise a confirmé qu'aucun client n'avait été touché par l'attaque.

LockBit 3.0 et ses risques

À mesure que la popularité de LockBit augmente, chaque nouvelle variante constitue une réelle préoccupation. La dernière version de LockBit, appelée LockBit 3.0, est devenue un problème, notamment dans les systèmes d'exploitation Windows.

À l'été 2022, LockBit 3.0 a été utilisé pour charger des charges utiles Cobalt Strike malveillantes sur des appareils ciblés via des exploits Windows Defender. Dans cette vague d'attaques, un fichier de ligne de commande exécutable appelé MpCmdRun.exe a été utilisé de manière abusive afin que les balises Cobalt Strike puissent contourner la détection de sécurité.

LockBit 3.0 a également été utilisé pour exploiter une ligne de commande VMWare appelée VMwareXferlogs.exe afin de déployer à nouveau la charge utile Cobalt Strike. On ne sait pas si ces attaques vont se poursuivre ou évoluer vers quelque chose de complètement différent.

Il est clair que le ransomware LockBit présente un risque élevé, comme c'est le cas pour de nombreux programmes ransomware. Alors, comment pouvez-vous assurer votre sécurité ?

Comment se protéger du rançongiciel LockBit

Étant donné que le ransomware LockBit doit d’abord être présent sur votre appareil pour chiffrer les fichiers, vous devez d’abord empêcher complètement l’infection. Même s’il est difficile de garantir une protection contre les ransomwares, vous pouvez faire beaucoup de choses.

Premièrement, ne téléchargez jamais de fichiers ou de logiciels à partir de sites Web qui ne sont pas totalement légaux. Le téléchargement de tout type de fichier non vérifié sur votre appareil peut permettre aux attaquants de ransomware d'accéder facilement à vos fichiers. Assurez-vous que vous utilisez uniquement des sites Web fiables et bien notés pour les téléchargements ou des magasins d'applications officiels pour installer des logiciels.

Un autre facteur à garder à l’esprit est que le ransomware LockBit se propage souvent via le protocole RDP (Remote Desktop Protocol). Si vous n’utilisez pas cette technologie, vous n’avez pas à vous inquiéter outre mesure. Cependant, si vous le faites, il est important de sécuriser votre réseau RDP en utilisant une protection par mot de passe, un VPN et en désactivant le protocole lorsqu'il n'est pas utilisé directement. Les opérateurs de ransomware analysent souvent Internet à la recherche de connexions RDP vulnérables. L'ajout de couches de protection supplémentaires rendra donc votre réseau RDP moins vulnérable aux attaques.

Les ransomwares peuvent également se propager via le phishing , une méthode extrêmement courante d'infection et de vol de données utilisée par des acteurs malveillants. Le phishing est le plus souvent déployé par courrier électronique, où un attaquant joindra un lien malveillant au corps du courrier électronique sur lequel il convaincra la victime de cliquer. Ce lien mènera à un site Web malveillant qui pourrait faciliter l'infection par des logiciels malveillants.

Il existe plusieurs façons d’éviter le phishing, notamment en utilisant des fonctionnalités anti-spam, la vérification des liens vers des sites Web et un logiciel antivirus. Vous devez également vérifier l’adresse de l’expéditeur de tout nouvel e-mail et rechercher les fautes d’orthographe dans l’e-mail (car les e-mails de phishing contiennent souvent de nombreuses erreurs d’orthographe et de grammaire).

LockBit continue de devenir une menace mondiale

LockBit continue de croître et cible de plus en plus de victimes : ce ransomware n'arrivera pas de sitôt. Pour vous protéger de LockBit et des ransomwares en général, tenez compte de certains des conseils ci-dessus. Même si vous pensez ne jamais devenir une cible, vous devez quand même prendre les précautions nécessaires.