Lockbit

LockBit, également connu sous le nom de LockBit Black ou Lockbit 3.0, est l'un des plus grands groupes de ransomwares au monde. Il a orchestré de vastes cyberattaques dans divers secteurs, touchant des milliers d'organisations dans le monde entier grâce à ses stratégies implacables et adaptatives.

Votre organisation est-elle à l'abri des attaques du ransomware Lockbit ?

Les origines de Lockbit

Les origines de LockBit remontent à septembre 2019, lorsque la première activité connue du ransomware "ABCD" - largement considéré comme le prédécesseur de LockBit - a été observée. En janvier 2020, LockBit a commencé à apparaître sous son nom actuel sur des forums de cybercriminalité en langue russe. Depuis, il est rapidement devenu l'une des familles de ransomware les plus en vue dans le paysage cybercriminel, adoptant un modèle de Ransomware-as-a-Service (RaaS) qui comprend un site de fuite dédié (DLS) et un portail de négociation de la rançon. Les affiliés s'inscrivent pour utiliser les créateurs de ransomware de LockBit, gèrent les nouvelles victimes via le DLS et peuvent également utiliser "StealBit", un outil de vol d'informations intégré dans les versions ultérieures de LockBit.

Une étape importante a été franchie en juin 2021 avec le lancement de LockBit 2.0 (souvent appelé LockBit Red). Alors que la popularité et l'impact de LockBit augmentaient déjà, cette version a considérablement accru la visibilité du groupe. En octobre 2021, la version 1.0 de LockBit Linux-ESXi Locker est apparue, élargissant les capacités de ciblage de LockBit aux systèmes Linux et VMware ESXi. Les opérateurs de ransomwares ont continué à faire évoluer leur produit en mars 2022 avec l'apparition de LockBit 3.0, également appelé LockBit Black - unenouvelle variante partageant des similitudes de code avec les ransomwares BlackMatter et Alphv (BlackCat). Bien que sa première apparition ait été signalée en mars 2022, nombreux sont ceux qui considèrent juin 2022 comme une date de lancement significative, lorsque LockBit 3.0 a été largement adopté. LockBit Red (le LockBit 2.0 rebaptisé) est resté le constructeur par défaut pour la plupart des affiliés, tandis que LockBit Black était réservé aux affiliés qui avaient exigé plus de 2,5 millions de dollars de rançon. Cette version a également introduit des fonctionnalités avancées, telles que la possibilité de tuer des processus spécifiques ou de définir des listes d'autorisation de fichiers et de périphériques, ainsi qu'un programme de chasse aux bogues offrant des récompenses pouvant aller jusqu'à 10 millions de dollars.

En septembre 2022, une fuite du constructeur de LockBit 3.0 a permis à des affiliés n'appartenant pas à LockBit de générer des charges utiles LockBit, ce qui a accéléré sa propagation. L'itération suivante du ransomware, LockBit Green, a été dévoilée en janvier 2023 et aurait intégré une fuite du code source de la version 3 de Conti. Contrairement à LockBit Black, LockBit Green n'exigeait aucune preuve de demande de rançon importante, ce qui en faisait une offre plus inclusive pour un plus grand nombre d'opérateurs cybercriminels. Quatre mois plus tard, en avril 2023, une nouvelle variante de LockBit macOS a fait surface dans les dépôts de malware à code source ouvert, reproduisant largement les fonctionnalités de la version Linux/ESXi de LockBit et soulignant la volonté constante du groupe d'infecter le plus grand nombre de plateformes possible.

La pression exercée par les forces de l'ordre sur LockBit s'est intensifiée en février 2024 lorsque l'"opération Cronos" - un effort multinational coordonné - a abouti à la saisie temporaire de son DLS et de son portail affilié. Bien que les services de LockBit aient été rétablis cinq jours plus tard, d'autres mesures prises en mai 2024 ont conduit à des mises en examen et à des sanctions visant plusieurs membres clés du groupe, dont un ressortissant russe identifié comme l'un des principaux développeurs et administrateurs. En décembre 2024, LockBit a contré ces revers en publiant la version 4.0 de LockBit 4.0qui a notamment supprimé la possibilité de générer des charges utiles LockBit Red. Malgré les perturbations continues, LockBit a maintenu sa position en tant que force redoutable de ransomware en mettant régulièrement à jour ses offres et en continuant à attirer des affiliés par le biais de son cadre RaaS.

Sources : CISA & Crowdstrike

Cartographie : OCD

Pays ciblés par Lockbit

Malgré les affirmations de neutralité politique de Lockbit, un nombre important de ses victimes semblent provenir des États membres de l'OTAN et de leurs alliés.

Environ 50 % des attaques impliquant la souche LockBit 3.0 ont touché des entreprises aux États-Unis. Les pirates utilisant Lockbit ont reçu plus de 91 millions de dollars de rançons de la part de victimes américaines.

Le Brésil et l'Inde sont également très ciblés.

Source : ransomware.live

Secteurs d'activité visés par Lockbit

L'industrie manufacturière est fréquemment attaquée par LockBit, mais aucun secteur n'est systématiquement ciblé, ce qui souligne le manque de discernement du groupe.

Bien qu'elle s'attaque généralement aux petites et moyennes entreprises, même les grandes sociétés comme le géant de l'informatique Accenture ne sont pas à l'abri de l'influence de LockBit.

Source : SOCRadar SOCRadar

Les victimes de Lockbit

À ce jour, 1999 personnes ont été victimes des opérations malveillantes de Lockbit.

Source : Ransomware.live

Méthode d'attaque

Méthode d'attaque de Lockbit

Une figure ombrageuse jetant un large filet sur un paysage numérique rempli de divers appareils tels que des ordinateurs, des smartphones et des tablettes. Le filet symbolise les tentatives de l'attaquant de trouver des vulnérabilités ou d'utiliser des techniques phishing pour obtenir un accès non autorisé.

Les affiliés de LockBit 3.0 accèdent aux réseaux par :

  • compromettre les informations d'identification d'un compte existant
  • utilisation des brèches RDP
  • l'exploitation des vulnérabilités des systèmes accessibles au public
  • la navigation vers des sites web malveillants au cours d'une navigation normale
  • mener des attaques sur le sitephishing
Une échelle numérique s'étendant vers le haut à partir d'une icône d'utilisateur de base vers une couronne symbolisant les privilèges administratifs. Cela représente les efforts de l'attaquant pour obtenir un accès de plus haut niveau au système.

LockBit 3.0 cherche à obtenir des niveaux d'accès plus élevés lorsque les autorisations actuelles sont inadéquates et utilise des fonctions de connexion automatique pour élever les privilèges.

Un caméléon qui se fond dans un arrière-plan numérique, avec des zéros et des uns qui circulent autour de lui. Cela représente la capacité de l'attaquant à éviter d'être détecté par les mesures de sécurité, en changeant de tactique pour se fondre dans le trafic normal du réseau.

LockBit 3.0 dissimule son activité en chiffrant les communications avec les serveurs de contrôle et en s'effaçant lui-même après l'exécution, et ne procède au déchiffrement que lorsque le mot de passe correct est fourni.

Pour rester intégré dans un réseau, LockBit 3.0 manipule les comptes d'utilisateurs compromis et configure les systèmes pour une connexion automatique.

Un voleur muni d'une trousse de crochetage travaille sur un trou de serrure géant en forme de formulaire de connexion, représentant les efforts de l'attaquant pour voler les informations d'identification de l'utilisateur afin d'obtenir un accès non autorisé.

LockBit 3.0 utilise ProDump de Microsoft Sysinternals pour extraire le contenu de la mémoire du processus à partir de LSASS.exe.

Une loupe se déplaçant sur une carte numérique d'un réseau, mettant en évidence les fichiers, les dossiers et les connexions réseau. Cette image représente la phase où les attaquants explorent l'environnement pour en comprendre la structure et savoir où se trouvent les données importantes.

LockBit 3.0 analyse les réseaux à l'aide de SoftPerfect Network Scanner, recueille des données détaillées sur le système et le domaine, et évite d'infecter les systèmes avec des paramètres linguistiques spécifiques.

Une série de nœuds interconnectés avec une silhouette se déplaçant furtivement entre eux. Cela illustre les mouvements de l'attaquant au sein du réseau, cherchant à prendre le contrôle d'autres systèmes ou à propager malware.

Pour la pénétration des réseaux internes, LockBit 3.0 utilise le logiciel de bureau à distance Splashtop.

Un grand aspirateur qui aspire des fichiers, des icônes de données et des dossiers dans un sac tenu par une personne de l'ombre. Cette image symbolise le processus de collecte de données précieuses sur le réseau cible.
Une fenêtre d'invite de commande ouverte devant un arrière-plan numérique, avec un code malveillant en cours de saisie. Il s'agit de la phase au cours de laquelle les attaquants exécutent leur charge utile malveillante dans le système compromis.

LockBit 3.0 met en place un système de commande et de contrôle à l'aide de FileZilla et automatise les interactions sécurisées avec le shell via Plink sur les systèmes Windows. Pendant son fonctionnement, LockBit 3.0 exécute des commandes et utilise Chocolatey, un gestionnaire de paquets Windows, pour la gestion des logiciels.

Série de fichiers acheminés par un canal secret depuis un ordinateur vers un site cloud marqué d'une tête de mort, symbolisant le transfert non autorisé de données vers un lieu contrôlé par l'attaquant.

LockBit 3.0 utilise son outil sur mesure Stealbit et les services populaires cloud pour siphonner les données des réseaux.

Un écran fissuré avec derrière lui un paysage urbain numérique en plein chaos, symbolisant l'impact destructeur de la cyberattaque, tel que l'interruption de service, la destruction de données ou la perte financière.

LockBit 3.0 perturbe les opérations en effaçant les journaux, en vidant la corbeille, en chiffrant les données, en arrêtant les processus et les services, en supprimant les copies d'ombre et en modifiant l'apparence du système infecté avec sa propre imagerie.

Une figure ombrageuse jetant un large filet sur un paysage numérique rempli de divers appareils tels que des ordinateurs, des smartphones et des tablettes. Le filet symbolise les tentatives de l'attaquant de trouver des vulnérabilités ou d'utiliser des techniques phishing pour obtenir un accès non autorisé.
Accès Initial

Les affiliés de LockBit 3.0 accèdent aux réseaux par :

  • compromettre les informations d'identification d'un compte existant
  • utilisation des brèches RDP
  • l'exploitation des vulnérabilités des systèmes accessibles au public
  • la navigation vers des sites web malveillants au cours d'une navigation normale
  • mener des attaques sur le sitephishing
Une échelle numérique s'étendant vers le haut à partir d'une icône d'utilisateur de base vers une couronne symbolisant les privilèges administratifs. Cela représente les efforts de l'attaquant pour obtenir un accès de plus haut niveau au système.
Élévation de privilèges

LockBit 3.0 cherche à obtenir des niveaux d'accès plus élevés lorsque les autorisations actuelles sont inadéquates et utilise des fonctions de connexion automatique pour élever les privilèges.

Un caméléon qui se fond dans un arrière-plan numérique, avec des zéros et des uns qui circulent autour de lui. Cela représente la capacité de l'attaquant à éviter d'être détecté par les mesures de sécurité, en changeant de tactique pour se fondre dans le trafic normal du réseau.
Défense Evasion

LockBit 3.0 dissimule son activité en chiffrant les communications avec les serveurs de contrôle et en s'effaçant lui-même après l'exécution, et ne procède au déchiffrement que lorsque le mot de passe correct est fourni.

Pour rester intégré dans un réseau, LockBit 3.0 manipule les comptes d'utilisateurs compromis et configure les systèmes pour une connexion automatique.

Un voleur muni d'une trousse de crochetage travaille sur un trou de serrure géant en forme de formulaire de connexion, représentant les efforts de l'attaquant pour voler les informations d'identification de l'utilisateur afin d'obtenir un accès non autorisé.
Accès aux identifiants

LockBit 3.0 utilise ProDump de Microsoft Sysinternals pour extraire le contenu de la mémoire du processus à partir de LSASS.exe.

Une loupe se déplaçant sur une carte numérique d'un réseau, mettant en évidence les fichiers, les dossiers et les connexions réseau. Cette image représente la phase où les attaquants explorent l'environnement pour en comprendre la structure et savoir où se trouvent les données importantes.
Découverte

LockBit 3.0 analyse les réseaux à l'aide de SoftPerfect Network Scanner, recueille des données détaillées sur le système et le domaine, et évite d'infecter les systèmes avec des paramètres linguistiques spécifiques.

Une série de nœuds interconnectés avec une silhouette se déplaçant furtivement entre eux. Cela illustre les mouvements de l'attaquant au sein du réseau, cherchant à prendre le contrôle d'autres systèmes ou à propager malware.
Mouvement latéral

Pour la pénétration des réseaux internes, LockBit 3.0 utilise le logiciel de bureau à distance Splashtop.

Un grand aspirateur qui aspire des fichiers, des icônes de données et des dossiers dans un sac tenu par une personne de l'ombre. Cette image symbolise le processus de collecte de données précieuses sur le réseau cible.
Collection
Une fenêtre d'invite de commande ouverte devant un arrière-plan numérique, avec un code malveillant en cours de saisie. Il s'agit de la phase au cours de laquelle les attaquants exécutent leur charge utile malveillante dans le système compromis.
Exécution

LockBit 3.0 met en place un système de commande et de contrôle à l'aide de FileZilla et automatise les interactions sécurisées avec le shell via Plink sur les systèmes Windows. Pendant son fonctionnement, LockBit 3.0 exécute des commandes et utilise Chocolatey, un gestionnaire de paquets Windows, pour la gestion des logiciels.

Série de fichiers acheminés par un canal secret depuis un ordinateur vers un site cloud marqué d'une tête de mort, symbolisant le transfert non autorisé de données vers un lieu contrôlé par l'attaquant.
Exfiltration

LockBit 3.0 utilise son outil sur mesure Stealbit et les services populaires cloud pour siphonner les données des réseaux.

Un écran fissuré avec derrière lui un paysage urbain numérique en plein chaos, symbolisant l'impact destructeur de la cyberattaque, tel que l'interruption de service, la destruction de données ou la perte financière.
Impact

LockBit 3.0 perturbe les opérations en effaçant les journaux, en vidant la corbeille, en chiffrant les données, en arrêtant les processus et les services, en supprimant les copies d'ombre et en modifiant l'apparence du système infecté avec sa propre imagerie.

MITRE ATT&CK Mapping

TTPs utilisées par Lockbit

TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
T1189
Drive-by Compromise
T1133
External Remote Services
T1078
Valid Accounts
TA0002: Execution
No items found.
TA0003: Persistence
T1547
Boot or Logon Autostart Execution
T1546
Event Triggered Execution
T1078
Valid Accounts
TA0004: Privilege Escalation
T1547
Boot or Logon Autostart Execution
T1546
Event Triggered Execution
T1078
Valid Accounts
TA0005: Defense Evasion
T1480
Execution Guardrails
T1027
Obfuscated Files or Information
T1070
Indicator Removal
T1078
Valid Accounts
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
T1614
System Location Discovery
T1082
System Information Discovery
T1046
Network Service Discovery
TA0008: Lateral Movement
T1072
Software Deployment Tools
TA0009: Collection
No items found.
TA0011: Command and Control
No items found.
TA0010: Exfiltration
No items found.
TA0040: Impact
T1486
Data Encrypted for Impact
Détections de la plate-forme

Comment détecter le Lockbit avec Vectra AI

Liste des détections disponibles dans la plate-forme Vectra AI qui indiquent une attaque par ransomware.

Foire aux questions

Qu'est-ce que le ransomware LockBit ?

LockBit est un Ransomware-as-a-Service (RaaS) qui crypte les données d'une organisation et demande une rançon pour obtenir la clé de décryptage. Il est connu pour sa furtivité, sa rapidité et l'utilisation d'un double système d'extorsion.

Comment LockBit obtient-il l'accès initial aux réseaux ?

LockBit obtient souvent un accès initial par divers moyens, notamment en exploitant les protocoles de bureau à distance (RDP), phishing, spear-phishing, et en utilisant les informations d'identification de comptes ayant déjà fait l'objet d'une violation.

Qu'est-ce qui différencie LockBit 3.0 de ses versions précédentes ?

LockBit 3.0 est plus modulaire et plus évasif, avec un chiffrement amélioré et la possibilité de personnaliser la charge utile de l'attaque. Il a intégré des caractéristiques d'autres ransomwares tels que BlackMatter et BlackCat.

LockBit a-t-il été impliqué dans des incidents cybernétiques importants ?

Oui, LockBit a été responsable de nombreuses attaques contre des entreprises dans le monde entier, y compris des incidents très médiatisés impliquant de grandes sociétés multinationales.

Quels sont les secteurs typiquement ciblés par LockBit ?

LockBit ne cible pas un secteur spécifique. Il est connu pour cibler un large éventail d'industries, y compris les soins de santé, l'éducation et la fabrication.

Comment LockBit gère-t-il le processus de demande de rançon ?

LockBit laisse généralement une note de rançon avec des instructions de paiement dans le système compromis. Le paiement est généralement exigé en crypto-monnaie et les négociations sont parfois menées sur le dark web.

Quelles mesures défensives peuvent être efficaces contre LockBit ?

La mise à jour régulière et l'application de correctifs aux systèmes, la mise en œuvre de contrôles d'accès robustes, l'organisation fréquente de formations de sensibilisation à la sécurité, l'utilisation d'outils avancés de détection des menaces et le maintien de sauvegardes hors ligne sont des moyens de défense essentiels.

Existe-t-il des outils de décryptage pour les fichiers cryptés par LockBit ?

Si vous avez été touché par LockBit, la National Crime Agency (NCA) a acquis 1 000 clés de décryptage du site de LockBit qui peuvent aider à décrypter les données volées.

Quel est le meilleur plan d'action si mon réseau est compromis par LockBit ?

Isolez les systèmes touchés, mettez en place un plan d'intervention en cas d'incident et contactez les forces de l'ordre et les professionnels de la cybersécurité. Évitez de payer la rançon, car cela ne garantit pas la récupération des données et peut financer d'autres activités criminelles.

Que sait-on des exploitants de LockBit ?

Les opérateurs feraient partie d'un groupe cybercriminel sophistiqué qui fonctionne selon le modèle RaaS, recrutant des affiliés pour propager le ransomware tout en restant caché et en préservant l'anonymat.