Les agences gouvernementales américaines ont publié un avis conjoint sur la cybersécurité détaillant les indicateurs de compromission (IoC) et les tactiques, techniques et procédures (TTP) associés au célèbre rançongiciel LockBit 3.0.
« Les opérations du ransomware LockBit 3.0 fonctionnent comme un modèle Ransomware-as-a-Service (RaaS) et sont une continuation des versions précédentes du ransomware, LockBit 2.0 et LockBit », ont déclaré les autorités. a dit.
L’alerte provient du Federal Bureau of Investigation (FBI) des États-Unis, de la Cybersecurity and Infrastructure Security Agency (CISA) et du Multi-State Information Sharing & Analysis Center (MS-ISAC).
Depuis son apparition fin 2019, le Acteurs LockBit ont investi d’importants efforts techniques pour développer et affiner leurs logiciels malveillants, en publiant deux mises à jour majeures – LockBit 2.0, publiée à la mi-2021, et LockBit 3.0, publiée en juin 2022. Les deux versions sont également connues sous le nom de LockBit Red et LockBit Black, respectivement.
« LockBit 3.0 accepte des arguments supplémentaires pour des opérations spécifiques en mouvement latéral et en redémarrant en mode sans échec », selon le alerte. « Si un affilié de LockBit n’a pas accès au rançongiciel LockBit 3.0 sans mot de passe, un argument de mot de passe est obligatoire lors de l’exécution du rançongiciel. »
Le ransomware est également conçu pour infecter uniquement les machines dont les paramètres de langue ne chevauchent pas ceux spécifiés dans une liste d’exclusion, qui comprend le roumain (Moldavie), l’arabe (Syrie) et le tatar (Russie).
L’accès initial aux réseaux des victimes est obtenu via l’exploitation du protocole de bureau à distance (RDP), la compromission au volant, les campagnes de phishing, l’abus de comptes valides et la militarisation des applications destinées au public.
Après avoir trouvé un point d’entrée réussi, le logiciel malveillant prend des mesures pour établir la persistance, élever les privilèges, effectuer un mouvement latéral et purger les fichiers journaux, les fichiers du dossier Windows Recycle Bin et les clichés instantanés, avant de lancer la routine de chiffrement.
« Les affiliés de LockBit ont été observés en train d’utiliser divers outils gratuits et open source lors de leurs intrusions », ont déclaré les agences. « Ces outils sont utilisés pour une gamme d’activités telles que la reconnaissance du réseau, l’accès à distance et le tunneling, le vidage des informations d’identification et l’exfiltration de fichiers. »
L’une des caractéristiques déterminantes des attaques est l’utilisation d’un outil d’exfiltration personnalisé appelé StealBitque le groupe LockBit fournit aux affiliés à des fins de double extorsion.
En novembre, le ministère américain de la Justice a signalé que la souche de ransomware LockBit avait été utilisée contre au moins 1 000 victimes dans le monde, rapportant à l’opération plus de 100 millions de dollars de profits illicites.
La société de cybersécurité industrielle Dragos, plus tôt cette année, révélé que LockBit 3.0 était responsable de 21 % des 189 attaques de ransomware détectées contre des infrastructures critiques au quatrième trimestre 2022, soit 40 incidents. La majorité de ces attaques ont touché les secteurs de l’alimentation et des boissons et de la fabrication.
Internet Crime Complaint Center (IC3) du FBI, dans sa dernière Rapport sur la criminalité sur Interneta classé LockBit (149), BlackCat (114) et Hive (87) comme les trois principales variantes de ransomwares attaquant les infrastructures critiques en 2022.
Malgré la frénésie d’attaques prolifiques de LockBit, le gang des rançongiciels subi un énorme coup fin septembre 2022, lorsqu’un développeur mécontent de LockBit a publié le code de construction de LockBit 3.0, faisant craindre que d’autres acteurs criminels ne profitent de la situation et ne créent leurs propres variantes.
Découvrez les dangers cachés des applications SaaS tierces
Êtes-vous conscient des risques associés à l’accès d’applications tierces aux applications SaaS de votre entreprise ? Rejoignez notre webinaire pour en savoir plus sur les types d’autorisations accordées et sur la façon de minimiser les risques.
L’avis intervient alors que le groupe de rançongiciels BianLian a a déplacé son attention du cryptage des fichiers de ses victimes aux pures attaques d’extorsion de vol de données, des mois après que la société de cybersécurité Avast a publié un décrypteur gratuit en janvier 2023.
Dans un développement connexe, Kaspersky a publié un décrypteur gratuit pour aider les victimes dont les données ont été verrouillées par une version de ransomware basée sur le code source de Conti qui a fui après l’invasion de l’Ukraine par la Russie l’année dernière a conduit à friction interne parmi les membres principaux.
« Étant donné la sophistication du LockBit 3.0 et Rançongiciel Conti variantes, il est facile d’oublier que des gens dirigent ces entreprises criminelles », Intel 471 indiqué l’année dernière. « Et, comme pour les organisations légitimes, il suffit d’un seul mécontent pour démêler ou perturber une opération complexe. »