Les acteurs de la menace derrière le programme LockBit ransomware-as-a-service (RaaS) ont extorqué 91 millions de dollars suite à des centaines d’attaques contre de nombreuses organisations américaines depuis 2020.
C’est selon un bulletin commun publié par la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis, le Federal Bureau of Investigation (FBI), le Multi-State Information Sharing and Analysis Center (MS-ISAC) et d’autres autorités partenaires d’Australie, du Canada, de France, d’Allemagne, de New Zélande et Royaume-Uni
« Le ransomware-as-a-service (RaaS) LockBit incite les affiliés à utiliser LockBit pour mener des attaques de ransomware, ce qui entraîne un vaste réseau d’acteurs malveillants non connectés menant des attaques extrêmement variées », ont déclaré les agences. a dit.
LockBit, qui a fait irruption pour la première fois fin 2019, a continué d’être perturbateur et prolifique, ciblant jusqu’à 76 victimes rien qu’en mai 2023, selon les statistiques partagées par Malwarebytes la semaine dernière. Le cartel lié à la Russie a revendiqué la responsabilité d’au moins 1 653 attaques de rançongiciels à ce jour.
L’opération de cybercriminalité a attaqué un large éventail de secteurs d’infrastructures critiques, notamment les services financiers, l’alimentation et l’agriculture, l’éducation, l’énergie, les services gouvernementaux et d’urgence, les soins de santé, la fabrication et les transports.
LockBit a reçu jusqu’à présent trois mises à niveau substantielles : LockBit Red (juin 2021), LockBit Black (mars 2022) et LockBit Green (janvier 2023), le dernier de qui est basé sur le code source divulgué du gang Conti maintenant dissous.
La souche de ransomware a depuis été adaptée pour cibler Linux, VMware ESXi, et les systèmes Apple macOS, le transformant en une menace en constante évolution. L’opération RaaS est également remarquable pour avoir payé des gens pour se faire tatouer son insigne et institué le tout premier programme de primes aux bogues.
Le modèle commercial implique que les principaux développeurs louent leur warez à des affiliés qui effectuent le déploiement et l’extorsion du ransomware. Mais dans une torsion, le groupe permet aux affiliés de recevoir des paiements de rançon avant d’envoyer une coupe à l’équipage principal.
Les chaînes d’attaque impliquant LockBit ont exploité les failles récemment révélées dans les serveurs Fortra GoAnywhere Managed File Transfer (MFT) et PaperCut MF/NG, ainsi que d’autres bogues connus dans Apache Log4j2, F5 BIG-IP et BIG-IQ, et les appareils Fortinet pour obtenir un accès initial. .
Les affiliés utilisent également plus de trois douzaines d’outils gratuits et open source qui permettent la reconnaissance du réseau, l’accès à distance et la tunnellisation, le vidage des informations d’identification et l’exfiltration de fichiers. Il a été constaté que les intrusions abusaient davantage des logiciels légitimes de l’équipe rouge tels que Metasploit et Cobalt Strike.
« LockBit a été couronné de succès grâce à son innovation et au développement continu du panneau d’administration du groupe (c’est-à-dire une interface pointer-cliquer simplifiée rendant le déploiement de ransomware accessible à ceux qui ont moins de compétences techniques), aux fonctions de support des affiliés et à la révision constante de TTP », ont déclaré les agences.
🔐 Maîtriser la sécurité des API : Comprendre votre véritable surface d’attaque
Découvrez les vulnérabilités inexploitées de votre écosystème d’API et prenez des mesures proactives pour une sécurité à toute épreuve. Rejoignez notre webinaire perspicace !
Le développement intervient alors que la CISA a publié un Directive opérationnelle contraignante 23-02ordonnant aux agences fédérales de sécuriser les périphériques réseau tels que les pare-feu, les routeurs et les commutateurs qui sont exposés à l’Internet public dans les 14 jours suivant leur découverte et de prendre des mesures pour minimiser la surface d’attaque.
« Trop souvent, les acteurs de la menace sont capables d’utiliser des périphériques réseau pour obtenir un accès illimité aux réseaux organisationnels, ce qui conduit à son tour à une compromission à grande échelle », a déclaré la directrice de CISA, Jen Easterly, a dit. « Exiger des contrôles et des mesures d’atténuation appropriés […] est une étape importante dans la réduction des risques pour l’entreprise civile fédérale. »
Les avis font également suite à un nouvel avis mettre en évidence les menaces aux implémentations du contrôleur de gestion de la carte de base (BMC) qui pourraient potentiellement permettre aux acteurs de la menace d’établir une « tête de pont avec un potentiel d’exécution avant le démarrage ».
« Les informations d’identification renforcées, les mises à jour du micrologiciel et les options de segmentation du réseau sont souvent négligées, ce qui conduit à un BMC vulnérable », ont déclaré la CISA et la National Security Agency (NSA) des États-Unis. indiqué dans une alerte commune.
« De plus, un acteur malveillant pourrait désactiver les solutions de sécurité telles que le module de plateforme sécurisée (TPM) ou le démarrage sécurisé UEFI, manipuler les données sur tout support de stockage connecté ou propager des implants ou des instructions perturbatrices sur une infrastructure réseau ».