Les agences de cybersécurité de sept pays, dont le Canada et les États-Unis, ont publié un document d’information conjoint (en anglais) sur le gang de rançongiciels LockBit pour aider les défenseurs à surveiller les signes de compromission.
C’est une opération prolifique : Au premier trimestre de 2023, 1 653 victimes présumées avaient été répertoriées sur les sites de fuite LockBit depuis 2020.
Selon un rapport de Flashpoint, le mois dernier, les gangs de rançongiciels ont répertorié 344 victimes sur leurs sites de fuite de données. LockBit en a revendiqué 96.
Les États-Unis estiment que les organisations victimes dans ce seul pays ont versé au gang 91 millions de dollars de rançons depuis que l’activité de LockBit a été vue pour la première fois en janvier 2020.
Le Canada estime que LockBit était responsable de 22 % des incidents de rançongiciel perpétrés ici l’année dernière. Les États-Unis affirment que 16 % des attaques de rançongiciels signalées contre des entités gouvernementales dans le pays – y compris des écoles et des services de police – ont été identifiées comme provenant de LockBit.
Malgré les actions de la police dans de nombreux pays pour éradiquer les gangs de rançongiciels, LockBit – et d’autres – continuent de prospérer. La dernière attaque LockBit aux États-Unis a été détectée en mai.
LockBit est un modèle rançongiciel-service (Ransomware-as-a-Service ou RaaS), dans lequel des affiliés sont recrutés pour mener des attaques de rançongiciel en utilisant les outils et l’infrastructure du gang. En raison du grand nombre d’affiliés non connectés dans l’opération, note le rapport, les attaques de rançongiciels LockBit varient considérablement dans les tactiques, les techniques et les procédures observées (TTP). « Cet écart dans les TTP de rançongiciel observées présente un défi important pour les organisations qui s’efforcent de maintenir la sécurité des réseaux et de se protéger contre une menace de rançongiciel », indique le rapport.
Une façon dont le gang obtient la loyauté des escrocs : les affiliés reçoivent leurs paiements de rançon avant qu’une commission ne revienne aux créateurs de LockBit. « Cette pratique contraste fortement avec les autres groupes RaaS qui se paient d’abord, puis versent leur part aux affiliés », note le rapport.
Maintenant à la version 3.0, également connue sous le nom de LockBit Black, le maliciel présente des similitudes avec les souches de rançongiciel BlackMatter et BlackCat/AlphV.
Les défenseurs doivent noter que les attaquants LockBit utilisent souvent PowerShell et des scripts batch pour la découverte du système, la reconnaissance, la recherche de mots de passe/d’informations d’identification et l’élévation des privilèges. Autre indice : l’installation non approuvée d’outils de test d’intrusion professionnels tels que Metasploit et Cobalt Strike.
Les défenseurs doivent également surveiller les installations non approuvées d’outils open source courants utilisés par les affiliés de LockBit pour l’accès initial, notamment 7-zip, AnyDesk, BackStab, TeamViewer et autres.
Les affiliés de LockBit s’appuient sur des vulnérabilités d’application non corrigées pour pénétrer dans les réseaux. Les plus récentes sont :
- CVE-2023-0669 : Vulnérabilité d’exécution de code à distance Fortra GoAnywhere Managed File Transfer (MFT)
- CVE-2023-27350 : Vulnérabilité de contrôle d’accès incorrect PaperCut MF/NG
Le rapport ajoute un autre avertissement : les affiliés de LockBit profitent des opportunités de la chaîne d’approvisionnement. L’équipe néo-zélandaise d’intervention d’urgence informatique (CERT NZ) note que si un affilié de LockBit pirate une organisation responsable de la gestion des réseaux d’autres organisations, comme un fournisseur de services gérés, il tentera de s’introduire dans les réseaux des clients. Les clients du fournisseur de services peuvent également être extorqués par les affiliés de LockBit menaçant de divulguer les informations sensibles de ces clients.
Adaptation et traduction française par Renaud Larue-Langlois.
