Sécurité : Le ransomware LockBit existe depuis 2019, mais ses créateurs ajoutent de nouvelles fonctionnalités et font de la publicité pour attirer de nouveaux affiliés cybercriminels.
On constate une augmentation des cyberattaques utilisant une forme de ransomware apparue il y a près de deux ans. Mais bien qu’elle soit relativement ancienne, elle continue de faire ses preuves parmi les cybercriminels.
Les chercheurs en cybersécurité de Trend Micro ont constaté une augmentation des campagnes de ransomware LockBit depuis le début du mois de juillet. Ce ransomware-as-a-service, apparu pour la première fois en septembre 2019, a connu dans un premier temps un succès relatif, mais a connu un regain d’activité cet été.
La relève de REvil et DarkSide
Dans des publicités diffusées sur des forums clandestins, les auteurs de LockBit affirment que LockBit 2.0 est l’une des variantes de ransomware disposant des techniques chiffrement de fichiers les plus rapides du marché actuel. Ces affirmations se sont révélées intéressantes pour les cybercriminels qui cherchent à gagner de l’argent grâce aux ransomwares.
Les chercheurs de Trend Micro ont observé un certain nombre de campagnes de ransomware LockBit au cours des dernières semaines, ciblant principalement des organisations au Chili, mais aussi au Royaume-Uni, en Italie et à Taïwan.
Si LockBit est resté dans l’ombre pendant une grande partie de l’année, il a fait la une des journaux avec l’attaque contre la société de conseil Accenture. Il semble également avoir bénéficié de la disparition apparente des groupes de ransomware REvil et DarkSide. Un nombre important d’affiliés de ces opérateurs se sont tournés vers LockBit comme nouveau moyen de mener des attaques de ransomware.
L’influence des autres groupes de ransomware
Les attaquants pénètrent souvent dans les réseaux en utilisant des comptes RDP (Remote Desktop Protocol) ou VPN (réseau privé virtuel) compromis qui ont fait l’objet d’une fuite ou d’un vol. Par ailleurs, les attaques du groupe LockBit tentent parfois de recruter des employés pour les aider à obtenir un accès par le biais d’identifiants de connexion légitimes.
LockBit a également réussi à suivre les traces d’importants groupes de ransomware en utilisant certaines tactiques, techniques et procédures des membres d’autres groupes lors des attaques. Par exemple, LockBit utilise désormais la fonction Wake-on-LAN de Ryuk, qui consiste à envoyer des paquets pour réveiller les appareils hors ligne afin de se déplacer latéralement sur les réseaux et de compromettre autant de machines que possible.
LockBit utilise également un outil précédemment déployé par le groupe Egregor, qui utilise les imprimantes du réseau pour imprimer des demandes de rançon.
Les membres de LockBit « ont été fortement influencés par le groupe de ransomware Maze. Lorsqu’il a fermé, ils semblent s’être concentrés sur les techniques des groupes de ransomware Ryuk et Egregor », explique à ZDNet Jon Clay, vice-président des renseignements sur les menaces chez Trend Micro.
« Ce que nous pouvons en retenir, c’est que de nombreux groupes d’acteurs malveillants suivent probablement les informations sur la réussite d’autres groupes et cherchent à modeler eux-mêmes leurs techniques. Les ransomwares ont évolué au fil du temps pour que leurs créateurs continuent à en tirer profit », ajoute-t-il.
La tendance de la double extorsion
Comme de nombreuses variantes de ransomware parmi les plus perturbatrices, LockBit joue également de la double extorsion dans leurs attaques, en volant les données de la victime et en menaçant de les divulguer si la rançon n’est pas payée dans un délai déterminé.
« Le groupe LockBit existe depuis un certain temps déjà, et continue de mettre à jour ses techniques afin de réussir ses campagnes d’attaque », avertit Jon Clay.
On peut s’attendre à ce que les attaques de ransomware LockBit continuent de représenter une menace pendant un certain temps, d’autant plus que le groupe cherche activement à recruter des affiliés supplémentaires. Mais si les groupes de ransomware sont persistants, il existe des mesures que les équipes de sécurité de l’information peuvent prendre pour aider à protéger les réseaux contre les attaques.
Il s’agit notamment d’appliquer les derniers correctifs et mises à jour de sécurité aux systèmes d’exploitation et aux logiciels, afin que les cybercriminels ne puissent pas exploiter les vulnérabilités connues pour lancer des attaques. Les organisations doivent également appliquer une authentification multifactorielle sur l’ensemble du réseau, afin que les cybercriminels aient plus de mal à utiliser des identifiants volés pour faciliter les attaques.
Source : net.fr/actualites/