Plongée dans les opérations du groupe ransomware LockBit
Des chercheurs ont analysé en détail le mode de fonctionnement de LockBit, l’un des groupes de ransomware les plus actifs. Les ransomwares sont devenus l’une des formes de cyberattaque les plus en vogue cette année. Mais c’est en 2017, avec l’épidémie mondiale de WannaCry, que nous avons vu pour la première fois les graves perturbations que les malwares de ce type pouvaient causer.
Rien que cette année, nous avons assisté au désastre du ransomware Colonial Pipeline qui a provoqué des pénuries de carburant dans certaines régions des États-Unis. En Europe, les problèmes persistants du service national de santé irlandais montrent la difficulté de faire repartir les systèmes. Même les bouchers ont à faire avec les ransomware de nos jours.
Les opérateurs de ransomware déploient des logiciels malveillants capables de chiffrer et de verrouiller des systèmes, et ils peuvent également voler des données confidentielles au cours d’une attaque. Un paiement est alors exigé en échange d’une clé de déchiffrement.
La technique de la seconde salve
Face au refus de certaines victimes de payer, les pirates utilisent parfois une deuxième salve destinée à faire monter la pression : la menace de fuite ou de vente en ligne des données de l’entreprise.
Selon diverses prévisions, les attaques par ransomware devraient coûter 265 milliards de dollars dans le monde d’ici 2031, et les paiements atteignent couramment des millions de dollars, comme dans le cas de JBS. Cependant, rien ne garantit que les clés de déchiffrement sont adaptées à l’usage prévu ou que le fait de payer une fois signifie qu’une organisation ne sera plus touchée. Selon une étude de Cybereason publiée cette semaine, jusqu’à 80 % des entreprises qui ont été la proie d’un ransomware et ont payé ont subi une deuxième attaque, potentiellement par les mêmes pirates.
La menace des ransomwares pour les entreprises et les services publics est devenue suffisamment sérieuse pour que la question soit soulevée lors d’une rencontre entre le président américain Joe Biden et le président russe Vladimir Poutine au sommet de Genève la semaine dernière.
La montée en puissance du Ransomware-as-a-Service (RaaS)
Chaque groupe a un modus operandi différent et les opérateurs de ransomware privilégient désormais un modèle d’affiliation de type Ransomware-as-a-Service (RaaS).
Vendredi, l’équipe de Prodaft Threat Intelligence (PTI) a publié un rapport (.PDF) explorant le cas de LockBit et de ses affiliés. Selon ce rapport, LockBit, qui aurait précédemment opéré sous le nom d’ABCD, exploite une structure RaaS qui fournit aux groupes d’affiliés un panneau de contrôle central leur permettant de créer de nouveaux échantillons LockBit, de gérer leurs victimes, de publier des articles de blog et d’obtenir des statistiques sur le succès – ou l’échec – de leurs tentatives d’attaque.
L’enquête a révélé que les affiliés de LockBit achètent le plus souvent un accès RDP (Remote Desktop Protocol) aux serveurs comme vecteur d’attaque initial, bien qu’ils puissent également utiliser des techniques de phishing. “Ces types de services d’accès sur mesure peuvent être achetés à partir de 5 dollars, ce qui rend cette approche très lucrative pour les affiliés”, note Prodaft.
Un échantillon pour voir
Des exploits sont également utilisés pour compromettre les systèmes vulnérables, notamment les vulnérabilités VPN Fortinet qui n’ont pas été corrigées sur les machines cibles.
Les enquêtes sur les machines attaquées par les affiliés de LockBit montrent que ces groupes essaient souvent d’abord d’identifier les systèmes “critiques”, notamment les périphériques NAS, les serveurs de sauvegarde et les contrôleurs de domaine. L’exfiltration des données commence alors et les paquets sont généralement téléchargés vers des services tels que la plateforme de stockage en mode cloud de MEGA.
Un échantillon de LockBit est ensuite déployé manuellement et les fichiers sont chiffrés avec une clé AES. Les sauvegardes sont supprimées et le fond d’écran du système est remplacé par une note de demande de rançon contenant un lien vers l’adresse d’un site Web .onion permettant d’acheter un logiciel de déchiffrement, proposé par les pirates.
Discussion par chat avec les pirates
Le site Web propose également un “essai” de déchiffrement, dans lequel un fichier – d’une taille inférieure à 256 Ko – peut être déchiffré gratuitement. Toutefois, il ne s’agit pas seulement de montrer que le déchiffrement est possible. Un fichier chiffré doit être soumis pour que les affiliés puissent générer un déchiffreur pour cette victime particulière.
Si les victimes se manifestent, les attaquants peuvent ouvrir une fenêtre de discussion dans le panneau LockBit pour leur parler. Les conversations commencent souvent par la demande de rançon, la date limite de paiement, la méthode – généralement en bitcoins (BTC) – et les instructions sur la façon d’acheter la crypto-monnaie.
Prodaft a pu obtenir l’accès au panneau LockBit, révélant les noms d’utilisateur des affiliés, le nombre de victimes, les dates d’inscription et les coordonnées.
Prodaft
Collaboration entre différents groupes de pirates
L’équipe de recherche indique que des indices dans les noms et adresses des affiliés suggèrent que certains d’entre eux pourraient également être inscrits auprès de Babuk et de REvil, deux autres groupes RaaS – toutefois, l’enquête se poursuit.
En moyenne, les affiliés de LockBit demandent environ 85 000 dollars à chaque victime, dont 10 à 30 % vont aux opérateurs RaaS. Le ransomware a infecté des milliers d’appareils dans le monde entier. Plus de 20 % des victimes du tableau de bord appartenaient au secteur des logiciels et des services. “Les entreprises de divers secteurs sont très ciblés par le groupe LockBit”, indique Prodaft. “Il convient toutefois de noter que la valeur de la rançon est déterminée par l’affilié après diverses vérifications à l’aide de services en ligne. Cette valeur ne dépend pas uniquement du secteur de la victime.”
Au début du mois, Bleeping Computer a rapporté que LockBit était un nouvel entrant dans un cartel de ransomware supervisé par Maze. Prodaft a déclaré à ZDNet qu’ayant “détecté que plusieurs affiliés de LockBit travaillent également pour d’autres groupes de ransomware, une collaboration est très probable.”
Source : “ZDNet.com”
