Le vol, l'extorsion, le chantage et l'usurpation d'identité sont monnaie courante en ligne, des milliers de personnes étant victimes de diverses escroqueries et attaques chaque mois. L'un de ces modes d'attaque utilise une sorte de logiciel de rançon connu sous le nom de LockBit 3.0. Alors, d'où vient ce rançongiciel, comment est-il utilisé et que pouvez-vous faire pour vous protéger ?

D'où vient LockBit 3.0 ?

LockBit 3.0 (également connu sous le nom de LockBit Black) est une souche de ransomware issue de la famille des ransomwares LockBit. Il s'agit d'un groupe de programmes de ransomware qui a été découvert pour la première fois en septembre 2019, après la première vague d'attaques. Initialement, LockBit était appelé le "virus .abcd", mais à ce moment-là, on ne savait pas que Les créateurs et les utilisateurs de LockBit continueraient à créer de nouvelles itérations du ransomware original programme.

La famille de programmes de ransomware de LockBit se propage d'elle-même, mais seules certaines victimes sont ciblées, principalement celles qui ont la capacité de payer une rançon importante. Ceux qui utilisent le rançongiciel LockBit achètent souvent un accès RDP (Remote Desktop Protocol) sur le dark web afin de pouvoir accéder à distance et plus facilement aux appareils des victimes.

instagram viewer

Les opérateurs de LockBit ont ciblé des organisations du monde entier depuis sa première utilisation, notamment au Royaume-Uni, aux États-Unis, en Ukraine et en France. Cette famille de programmes malveillants utilise le Ransomware en tant que service (RaaS) modèle, dans lequel les utilisateurs peuvent payer les opérateurs pour avoir accès à un type donné de rançongiciel. Cela implique souvent une forme d'abonnement. Parfois, les utilisateurs peuvent même vérifier les statistiques pour voir si leur utilisation du rançongiciel LockBit a réussi.

Ce n'est qu'en 2021 que LockBit est devenu un type répandu de ransomware, via LockBit 2.0 (le prédécesseur de la souche actuelle). À ce stade, les gangs qui ont utilisé ce rançongiciel ont décidé de adopter le modèle de la double extorsion. Cela implique à la fois le cryptage et l'exfiltration (ou le transfert) des fichiers d'une victime vers un autre appareil. Cette méthode d'attaque supplémentaire rend la situation encore plus effrayante pour la personne ou l'organisation ciblée.

Le type le plus récent de rançongiciel LockBit a été identifié comme LockBit 3.0. Alors, comment fonctionne LockBit 3.0 et comment est-il utilisé aujourd'hui ?

Qu'est-ce que LockBit 3.0 ?

À la fin du printemps 2022, une nouvelle itération du groupe de rançongiciels LockBit a été découverte: LockBit 3.0. En tant que programme de ransomware, LockBit 3.0 peut chiffrer et exfiltrer tous les fichiers sur un appareil infecté, permettant à l'attaquant de garder apparemment en otage les données de la victime jusqu'à ce que la rançon demandée soit payé. Ce rançongiciel est maintenant actif dans la nature et suscite beaucoup d'inquiétudes.

Le processus d'une attaque LockBit 3.0 typique est :

  1. LockBit 3.0 infecte l'appareil d'une victime, crypte les fichiers et ajoute l'extension des fichiers cryptés en tant que "HLjkNskOq".
  2. Une clé d'argument de ligne de commande appelée "-pass" est alors nécessaire pour effectuer le chiffrement.
  3. LockBit 3.0 crée divers threads pour effectuer plusieurs tâches simultanément afin que le cryptage des données puisse être effectué en moins de temps.
  4. LockBit 3.0 supprime certains services ou fonctionnalités pour faciliter le processus de cryptage et d'exfiltration.
  5. Une API est utilisée pour héberger l'accès à la base de données du gestionnaire de contrôle de service.
  6. Le papier peint du bureau de la victime est modifié afin qu'elle sache qu'elle est attaquée.

Si la rançon n'est pas payée par la victime dans le laps de temps requis, les attaquants de LockBit 3.0 vendront alors les données qu'ils ont volées sur le dark web à d'autres cybercriminels. Cela peut être catastrophique à la fois pour une victime individuelle et pour une organisation.

Au moment de la rédaction, LockBit 3.0 est le plus remarquable pour exploiter Windows Defender pour déployer Cobalt Strike, un outil de test d'intrusion capable de supprimer des charges utiles. Ce logiciel peut également provoquer une chaîne d'infections par des logiciels malveillants sur plusieurs appareils.

Dans ce processus, l'outil de ligne de commande MpCmdRun.exe est exploité afin que l'attaquant puisse déchiffrer et lancer les balises. Cela se fait en incitant le système à hiérarchiser et à charger une DLL (Dynamic-Link Library) malveillante.

Le fichier exécutable MpCmdRun.exe est utilisé par Windows Defender pour rechercher les logiciels malveillants, protégeant ainsi l'appareil des fichiers et programmes nuisibles. Étant donné que Cobalt Strike peut contourner les mesures de sécurité de Windows Defender, il est devenu très utile pour les attaquants de ransomware.

Cette technique est également connue sous le nom de chargement latéral et permet à des parties malveillantes d'héberger ou de voler des données à partir d'appareils infectés.

Comment éviter le rançongiciel LockBit 3.0

LockBit 3.0 est une préoccupation croissante, en particulier parmi les grandes organisations qui ont des tas de données qui peuvent être chiffrées et exfiltrées. il est important de s'assurer que vous évitez ce type d'attaque dangereuse.

Pour ce faire, vous devez d'abord vous assurer que vous utilisez des mots de passe super forts et une authentification à deux facteurs sur tous vos comptes. Cette couche de sécurité supplémentaire peut rendre encore plus difficile pour les cybercriminels de vous attaquer à l'aide de ransomwares. Envisager Attaques de rançongiciels du protocole de bureau à distance, par exemple. Dans un tel scénario, l'attaquant analysera Internet à la recherche de connexions RDP vulnérables. Ainsi, si votre connexion est protégée par un mot de passe et utilise 2FA, vous êtes beaucoup moins susceptible d'être ciblé.

De plus, vous devez toujours maintenir à jour les systèmes d'exploitation et les programmes antivirus de vos appareils. Les mises à jour logicielles peuvent prendre du temps et être frustrantes, mais il y a une raison pour laquelle elles existent. Ces mises à jour sont souvent accompagnées de corrections de bogues et de fonctionnalités de sécurité supplémentaires pour protéger vos appareils et vos données, alors ne laissez pas passer l'occasion de garder vos appareils à jour.

Une autre mesure importante à prendre pour ne pas éviter les attaques de ransomwares, mais leurs conséquences, est la sauvegarde des fichiers. Parfois, les attaquants de ransomware retiendront des informations cruciales dont vous avez besoin pour diverses raisons, donc avoir une sauvegarde atténue l'étendue des dommages dans une certaine mesure. Les copies hors ligne, telles que celles stockées sur une clé USB, peuvent être inestimables lorsque des données sont volées ou effacées de votre appareil.

Mesures post-infection

Bien que les suggestions ci-dessus puissent vous protéger contre le rançongiciel LockBit, il existe toujours un risque d'infection. Donc, si vous découvrez que votre ordinateur a été infecté par LockBit 3.0, il est important de ne pas agir de manière irrationnelle. Il y a des étapes que vous pouvez suivre pour supprimer les rançongiciels de votre appareil, que vous devez suivre attentivement et attentivement.

Vous devez également alerter les autorités si vous avez été victime d'une attaque par ransomware. Cela aide les parties concernées à mieux comprendre et lutter contre une souche donnée de ransomware.

Les attaques de LockBit 3.0 peuvent continuer

Personne ne sait combien de fois le rançongiciel LockBit 3.0 sera utilisé pour menacer et exploiter les victimes. C'est pourquoi il est crucial de protéger vos appareils et vos comptes de toutes les manières possibles, afin que vos données sensibles restent en sécurité.