Si vous vous tenez au courant des menaces de cybersécurité, vous savez probablement à quel point les ransomwares sont devenus dangereusement populaires. Ce type de malware est une énorme menace pour les individus et les organisations, certaines souches devenant désormais un choix de choix pour les acteurs malveillants, y compris LockBit.
Alors, qu'est-ce que LockBit, d'où vient-il et comment pouvez-vous vous en protéger ?
Qu'est-ce que le rançongiciel LockBit ?
Alors que LockBit a commencé comme une seule souche de ransomware, il a depuis évolué plusieurs fois, la dernière version étant connue sous le nom de "LockBit 3.0" (dont nous parlerons un peu plus tard). LockBit couvre une famille de programmes de ransomware, qui fonctionnent à l'aide du Ransomware en tant que service (RaaS) maquette.
Ransomware-as-a-Service est un modèle commercial qui implique que les utilisateurs paient pour accéder à un type donné de ransomware afin qu'ils puissent l'utiliser pour leurs propres attaques. Grâce à cela, les utilisateurs deviennent des affiliés et leur paiement peut impliquer un forfait ou un service par abonnement. En bref, les créateurs de LockBit ont trouvé un moyen de tirer davantage profit de son utilisation en utilisant ce modèle RaaS, et peuvent même recevoir une part de la rançon versée par les victimes.
Un certain nombre d'autres programmes de ransomware sont accessibles via le modèle RaaS, notamment DarkSide et REvil. Parallèlement à cela, LockBit est l'un des types de rançongiciels les plus populaires utilisés aujourd'hui.
Étant donné que LockBit est une famille de rançongiciels, son utilisation implique le chiffrement des fichiers d'une cible. Les cybercriminels infiltreront l'appareil d'une victime d'une manière ou d'une autre, peut-être par le biais d'un e-mail de phishing ou d'un message malveillant. pièce jointe, et utilisera ensuite LockBit pour crypter tous les fichiers sur l'appareil afin qu'ils soient inaccessibles au utilisateur.
Une fois les fichiers de la victime cryptés, l'attaquant exigera alors une rançon en échange de la clé de décryptage. Si la victime ne se conforme pas et ne paie pas la rançon, il est probable que l'attaquant vendra ensuite les données sur le dark web à des fins lucratives. Selon la nature des données, cela peut causer des dommages irréversibles à la vie privée d'un individu ou d'une organisation, ce qui peut ajouter à la pression du paiement de la rançon.
Mais d'où vient ce rançongiciel extrêmement dangereux ?
Les origines du rançongiciel LockBit
On ne sait pas exactement quand LockBit a été développé, mais son histoire reconnue remonte à 2019, date à laquelle il a été découvert pour la première fois. Cette découverte est intervenue après la première vague d'attaques de LockBit, lorsque le ransomware a été initialement inventé "ABCD" en référence au nom d'extension des fichiers cryptés exploités lors des attaques. Mais lorsque les attaquants ont commencé à utiliser l'extension de fichier ".lockbit" à la place, le nom du ransomware a changé pour ce qu'il est aujourd'hui.
La popularité de LockBit a bondi après le développement de sa deuxième itération, LockBit 2.0. Fin 2021, LockBit 2.0 était de plus en plus utilisé par des affiliés pour des attaques, et, lors de la fermeture d'autres gangs de ransomwares, LockBit a pu profiter de l'écart dans le marché.
En fait, l'utilisation accrue de LockBit 2.0 a consolidé sa position comme "le plus percutant et le plus largement déployé variante de ransomware que nous avons observée dans toutes les violations de ransomware au cours du premier trimestre 2022 », selon un Rapport de Palo Alto. En plus de cela, Palo Alto a déclaré dans le même rapport que les opérateurs de LockBit prétendent avoir le logiciel de cryptage le plus rapide de tous les ransomwares actuellement actifs.
Le rançongiciel LockBit a été repéré dans plusieurs pays du monde, dont la Chine, les États-Unis, la France, l'Ukraine, le Royaume-Uni et l'Inde. Un certain nombre de grandes organisations ont également été ciblées à l'aide de LockBit, notamment Accenture, une société de services professionnels irlandaise-américaine.
Accenture a subi une violation de données à la suite de l'utilisation de LockBit en 2021, les attaquants exigeant une énorme rançon de 50 millions de dollars, avec plus de 6 To de données chiffrées. Accenture n'a pas accepté de payer cette rançon, bien que la société ait affirmé qu'aucun client n'avait été touché par l'attaque.
LockBit 3.0 et ses risques
À mesure que la popularité de LockBit augmente, chaque nouvelle itération est une préoccupation sérieuse. La dernière version de LockBit, connue sous le nom de LockBit 3.0, est déjà devenue un problème, en particulier dans les systèmes d'exploitation Windows.
À l'été 2022, LockBit 3.0 était utilisé pour charger des charges utiles Cobalt Strike nuisibles sur des appareils ciblés grâce à l'exploitation de Windows Defender. Dans cette vague d'attaques, un fichier de ligne de commande exécutable connu sous le nom de MpCmdRun.exe a été abusé, afin que les balises Cobalt Strike puissent contourner la détection de sécurité.
LockBit 3.0 a également été utilisé dans l'exploitation d'une ligne de commande VMWare connue sous le nom de VMwareXferlogs.exe pour déployer à nouveau les charges utiles Cobalt Strike. On ne sait pas si ces attaques se poursuivront ou évolueront vers autre chose.
Il est évident que le ransomware LockBit présente un risque élevé, comme c'est le cas pour de nombreux programmes de ransomware. Alors, comment pouvez-vous vous protéger?
Comment se protéger contre LockBit Ransomware
Étant donné que le rançongiciel LockBit doit d'abord être présent sur votre appareil pour chiffrer les fichiers, vous devez essayer de le couper à la source et d'empêcher complètement l'infection. Bien qu'il soit difficile de garantir votre protection contre les ransomwares, vous pouvez faire beaucoup pour éviter autant que possible.
Premièrement, il est essentiel que vous ne téléchargiez jamais de fichiers ou de logiciels à partir de sites qui ne sont pas totalement légitimes. Le téléchargement de tout type de fichier non vérifié sur votre appareil peut permettre à un attaquant de rançongiciel d'accéder facilement à vos fichiers. Assurez-vous que vous n'utilisez que des sites fiables et bien évalués pour vos téléchargements, ou des magasins d'applications officiels pour l'installation de logiciels.
Un autre facteur à noter est que le rançongiciel LockBit est souvent se propager via le protocole de bureau à distance (RDP). Si vous n'utilisez pas cette technologie, vous n'avez pas à vous soucier de ce pointeur. Cependant, si vous le faites, il est important de sécuriser votre réseau RDP à l'aide d'une protection par mot de passe, de VPN et de désactiver le protocole lorsqu'il n'est pas directement utilisé. Les opérateurs de rançongiciels analysent souvent Internet à la recherche de connexions RDP vulnérables. Par conséquent, l'ajout de couches de protection supplémentaires rendra votre réseau RDP moins vulnérable aux attaques.
Les ransomwares peuvent également se propager via le phishing, un mode d'infection et de vol de données incroyablement populaire utilisé par des acteurs malveillants. Le phishing est le plus souvent déployé via des e-mails, dans lesquels l'attaquant joindra un lien malveillant au corps de l'e-mail sur lequel il convaincra la victime de cliquer. Ce lien mènera à un site Web malveillant qui peut faciliter l'infection par des logiciels malveillants.
Éviter l'hameçonnage peut se faire de plusieurs façons, y compris l'utilisation de fonctionnalités anti-spam pour les e-mails, sites Web de vérification des liens, et un logiciel antivirus. Vous devez également vérifier l'adresse de l'expéditeur de tout nouvel e-mail et rechercher les fautes de frappe dans les e-mails (car les e-mails frauduleux sont souvent jonchés de fautes d'orthographe et de grammaire).
LockBit continue d'être une menace mondiale
LockBit continue d'évoluer et de cibler de plus en plus de victimes: ce rançongiciel ne va nulle part de sitôt. Pour vous protéger de LockBit et des ransomwares en général, tenez compte de certains des conseils ci-dessus. Bien que vous puissiez penser que vous ne deviendrez jamais une cible, il est toujours sage de prendre les précautions nécessaires de toute façon.