Lockbit
LockBit, également connu sous le nom de LockBit Black ou Lockbit 3.0, est l'un des plus grands groupes de ransomwares au monde. Il a orchestré de vastes cyberattaques dans divers secteurs, touchant des milliers d'organisations dans le monde entier grâce à ses stratégies implacables et adaptatives.
Les origines de Lockbit
Depuis sa création en septembre 2019, LockBit est devenu tristement célèbre dans le monde de la cybercriminalité, tirant parti de son modèle RaaS et de son site "StealBit" malware pour cibler agressivement les entreprises et les infrastructures.
De la version LockBit Red à la version 3.0, chaque itération a introduit des fonctionnalités sophistiquées qui posent un défi à l'analyse de sécurité. En 2023, LockBit Green est apparu, fusionnant des caractéristiques du défunt ransomware Conti, illustrant la capacité d'adaptation des milieux de la cybercriminalité.
Cependant, l'opération Cronos de février 2024 a perturbé les opérations de LockBit, érodant sa crédibilité et révélant les efforts internationaux déployés pour lutter contre les ransomwares. Bien que les forces de l'ordre aient pris le contrôle des sites de Lockbit, d'autres attaques ont été signalées, ce qui témoigne de la persistance du groupe.
Cartographie : OCD
Cibles
Les cibles de Lockbit
Pays ciblés par Lockbit
Malgré les affirmations de neutralité politique de Lockbit, un nombre important de ses victimes semblent provenir des États membres de l'OTAN et de leurs alliés.
Environ 50 % des attaques impliquant la souche LockBit 3.0 ont touché des entreprises aux États-Unis. Les pirates utilisant Lockbit ont reçu plus de 91 millions de dollars de rançons de la part de victimes américaines.
Le Brésil et l'Inde sont également très ciblés.
Source : SOCRadar SOCRadar
Secteurs d'activité visés par Lockbit
L'industrie manufacturière est fréquemment attaquée par LockBit, mais aucun secteur n'est systématiquement ciblé, ce qui souligne le manque de discernement du groupe.
Bien qu'elle s'attaque généralement aux petites et moyennes entreprises, même les grandes sociétés comme le géant de l'informatique Accenture ne sont pas à l'abri de l'influence de LockBit.
Source : SOCRadar SOCRadar
Secteurs d'activité visés par Lockbit
L'industrie manufacturière est fréquemment attaquée par LockBit, mais aucun secteur n'est systématiquement ciblé, ce qui souligne le manque de discernement du groupe.
Bien qu'elle s'attaque généralement aux petites et moyennes entreprises, même les grandes sociétés comme le géant de l'informatique Accenture ne sont pas à l'abri de l'influence de LockBit.
Source : SOCRadar SOCRadar
Les victimes de Lockbit
À ce jour, plus de 1661 victimes sont tombées dans les filets des opérations malveillantes de Lockbit.
Source : Ransomware.live
Méthode d'attaque
Méthode d'attaque de Lockbit
Les affiliés de LockBit 3.0 accèdent aux réseaux par :
- compromettre les informations d'identification d'un compte existant
- utilisation des brèches RDP
- l'exploitation des vulnérabilités des systèmes accessibles au public
- la navigation vers des sites web malveillants au cours d'une navigation normale
- mener des attaques sur le sitephishing
LockBit 3.0 cherche à obtenir des niveaux d'accès plus élevés lorsque les autorisations actuelles sont inadéquates et utilise des fonctions de connexion automatique pour élever les privilèges.
LockBit 3.0 dissimule son activité en chiffrant les communications avec les serveurs de contrôle et en s'effaçant lui-même après l'exécution, et ne procède au déchiffrement que lorsque le mot de passe correct est fourni.
Pour rester intégré dans un réseau, LockBit 3.0 manipule les comptes d'utilisateurs compromis et configure les systèmes pour une connexion automatique.
LockBit 3.0 utilise ProDump de Microsoft Sysinternals pour extraire le contenu de la mémoire du processus à partir de LSASS.exe.
LockBit 3.0 analyse les réseaux à l'aide de SoftPerfect Network Scanner, recueille des données détaillées sur le système et le domaine, et évite d'infecter les systèmes avec des paramètres linguistiques spécifiques.
Pour la pénétration des réseaux internes, LockBit 3.0 utilise le logiciel de bureau à distance Splashtop.
LockBit 3.0 met en place un système de commande et de contrôle à l'aide de FileZilla et automatise les interactions sécurisées avec le shell via Plink sur les systèmes Windows. Pendant son fonctionnement, LockBit 3.0 exécute des commandes et utilise Chocolatey, un gestionnaire de paquets Windows, pour la gestion des logiciels.
LockBit 3.0 utilise son outil sur mesure Stealbit et les services populaires cloud pour siphonner les données des réseaux.
LockBit 3.0 perturbe les opérations en effaçant les journaux, en vidant la corbeille, en chiffrant les données, en arrêtant les processus et les services, en supprimant les copies d'ombre et en modifiant l'apparence du système infecté avec sa propre imagerie.
Accès Initial
Les affiliés de LockBit 3.0 accèdent aux réseaux par :
- compromettre les informations d'identification d'un compte existant
- utilisation des brèches RDP
- l'exploitation des vulnérabilités des systèmes accessibles au public
- la navigation vers des sites web malveillants au cours d'une navigation normale
- mener des attaques sur le sitephishing
Élévation de privilèges
LockBit 3.0 cherche à obtenir des niveaux d'accès plus élevés lorsque les autorisations actuelles sont inadéquates et utilise des fonctions de connexion automatique pour élever les privilèges.
Défense Evasion
LockBit 3.0 dissimule son activité en chiffrant les communications avec les serveurs de contrôle et en s'effaçant lui-même après l'exécution, et ne procède au déchiffrement que lorsque le mot de passe correct est fourni.
Pour rester intégré dans un réseau, LockBit 3.0 manipule les comptes d'utilisateurs compromis et configure les systèmes pour une connexion automatique.
Accès aux identifiants
LockBit 3.0 utilise ProDump de Microsoft Sysinternals pour extraire le contenu de la mémoire du processus à partir de LSASS.exe.
Découverte
LockBit 3.0 analyse les réseaux à l'aide de SoftPerfect Network Scanner, recueille des données détaillées sur le système et le domaine, et évite d'infecter les systèmes avec des paramètres linguistiques spécifiques.
Mouvement latéral
Pour la pénétration des réseaux internes, LockBit 3.0 utilise le logiciel de bureau à distance Splashtop.
Collection
Exécution
LockBit 3.0 met en place un système de commande et de contrôle à l'aide de FileZilla et automatise les interactions sécurisées avec le shell via Plink sur les systèmes Windows. Pendant son fonctionnement, LockBit 3.0 exécute des commandes et utilise Chocolatey, un gestionnaire de paquets Windows, pour la gestion des logiciels.
Exfiltration
LockBit 3.0 utilise son outil sur mesure Stealbit et les services populaires cloud pour siphonner les données des réseaux.
Impact
LockBit 3.0 perturbe les opérations en effaçant les journaux, en vidant la corbeille, en chiffrant les données, en arrêtant les processus et les services, en supprimant les copies d'ombre et en modifiant l'apparence du système infecté avec sa propre imagerie.
MITRE ATT&CK Mapping
TTPs utilisées par Lockbit
LockBit utilise des TTPs (tactiques, techniques et procédures) plus modulaires et plus évasives que ses prédécesseurs, ce qui reflète des caractéristiques communes avec les familles de ransomwares BlackMatter et BlackCat.
TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
T1189
Drive-by Compromise
T1133
External Remote Services
T1078
Valid Accounts
TA0002: Execution
No items found.
TA0003: Persistence
T1547
Boot or Logon Autostart Execution
T1546
Event Triggered Execution
T1078
Valid Accounts
TA0004: Privilege Escalation
T1547
Boot or Logon Autostart Execution
T1546
Event Triggered Execution
T1078
Valid Accounts
TA0005: Defense Evasion
T1480
Execution Guardrails
T1027
Obfuscated Files or Information
T1070
Indicator Removal
T1078
Valid Accounts
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
T1614
System Location Discovery
T1082
System Information Discovery
T1046
Network Service Discovery
TA0008: Lateral Movement
T1072
Software Deployment Tools
TA0009: Collection
No items found.
TA0011: Command and Control
No items found.
TA0010: Exfiltration
No items found.
TA0040: Impact
T1486
Data Encrypted for Impact
Détections de la plate-forme
Comment détecter le Lockbit avec Vectra AI
Liste des détections disponibles dans la plate-forme Vectra AI qui indiquent une attaque par ransomware.
Foire aux questions
Qu'est-ce que le ransomware LockBit ?
LockBit est un Ransomware-as-a-Service (RaaS) qui crypte les données d'une organisation et demande une rançon pour obtenir la clé de décryptage. Il est connu pour sa furtivité, sa rapidité et l'utilisation d'un double système d'extorsion.
Comment LockBit obtient-il l'accès initial aux réseaux ?
LockBit obtient souvent un accès initial par divers moyens, notamment en exploitant les protocoles de bureau à distance (RDP), phishing, spear-phishing, et en utilisant les informations d'identification de comptes ayant déjà fait l'objet d'une violation.
Qu'est-ce qui différencie LockBit 3.0 de ses versions précédentes ?
LockBit 3.0 est plus modulaire et plus évasif, avec un chiffrement amélioré et la possibilité de personnaliser la charge utile de l'attaque. Il a intégré des caractéristiques d'autres ransomwares tels que BlackMatter et BlackCat.
LockBit a-t-il été impliqué dans des incidents cybernétiques importants ?
Oui, LockBit a été responsable de nombreuses attaques contre des entreprises dans le monde entier, y compris des incidents très médiatisés impliquant de grandes sociétés multinationales.
Quels sont les secteurs typiquement ciblés par LockBit ?
LockBit ne cible pas un secteur spécifique. Il est connu pour cibler un large éventail d'industries, y compris les soins de santé, l'éducation et la fabrication.
Comment LockBit gère-t-il le processus de demande de rançon ?
LockBit laisse généralement une note de rançon avec des instructions de paiement dans le système compromis. Le paiement est généralement exigé en crypto-monnaie et les négociations sont parfois menées sur le dark web.
Quelles mesures défensives peuvent être efficaces contre LockBit ?
La mise à jour régulière et l'application de correctifs aux systèmes, la mise en œuvre de contrôles d'accès robustes, l'organisation fréquente de formations de sensibilisation à la sécurité, l'utilisation d'outils avancés de détection des menaces et le maintien de sauvegardes hors ligne sont des moyens de défense essentiels.
Existe-t-il des outils de décryptage pour les fichiers cryptés par LockBit ?
Si vous avez été touché par LockBit, la National Crime Agency (NCA) a acquis 1 000 clés de décryptage du site de LockBit qui peuvent aider à décrypter les données volées.
Quel est le meilleur plan d'action si mon réseau est compromis par LockBit ?
Isolez les systèmes touchés, mettez en place un plan d'intervention en cas d'incident et contactez les forces de l'ordre et les professionnels de la cybersécurité. Évitez de payer la rançon, car cela ne garantit pas la récupération des données et peut financer d'autres activités criminelles.
Que sait-on des exploitants de LockBit ?
Les opérateurs feraient partie d'un groupe cybercriminel sophistiqué qui fonctionne selon le modèle RaaS, recrutant des affiliés pour propager le ransomware tout en restant caché et en préservant l'anonymat.