Lockbit: from Genesis to the Last Judgment
Un aperçu complet sur la triste saga Lockbit, un ransomware majeur, ses évolutions, ses attaques notables, les techniques de mitigation et la lutte internationale pour le contrer.
De la création au chaos
Lockbit est apparu pour la première fois sur la scène cyber le 3 septembre 2019. Lockbit a mené plus de 2 000 attaques dans le monde, le plaçant parmi les groupes de ransomware les plus prolifiques. Lockbit a extorqué plus de 120 millions de dollars depuis sa création.
Le groupe revendique que ses membres sont originaires d'anciennes républiques de l’Union soviétique, expliquant ainsi leur décision de ne pas attaquer les intérêts russes ni ceux des pays de l'ex-URSS. Comparé à ses concurrents, Lockbit se distingue par son organisation quasi-entrepreneuriale, avec une structure rappelant celle des startups. Le programme d’affiliation de Lockbit inclut même des recommandations sur les cibles à éviter pour ne pas s'attirer les foudres des forces de l'ordre : les secteurs de la santé, de l'éducation et du pétrole.
De Lockbit 2.0 à 3.0
Les premières mentions de Lockbit 2.0 apparaissent dans les rapports de cybersécurité au début de 2022. Le groupe déploie cette nouvelle version progressivement, testant ses fonctionnalités avant de la lancer à grande échelle. Les victimes se multiplient rapidement, incluant des entreprises renommées comme TitanHQ et Travelex.
En février 2022, les forces de l'ordre parviennent à infiltrer les systèmes de Lockbit et à saisir des millions de dollars de rançon, forçant le groupe à suspendre temporairement ses activités. Cependant, dès mars 2022, Lockbit reprend ses opérations et lance une série d'attaques notables. En mai 2022, Lockbit 3.0 voit le jour, apportant des améliorations significatives pour éviter la détection par les antivirus et introduisant une fonction de suppression des sauvegardes.
Le ransomware a évolué en Lockbit 2.0 puis Lockbit 3.0, chaque version introduisant des techniques d'évasion plus sophistiquées et des capacités destructrices, telles que la suppression des sauvegardes pour empêcher la récupération des données.
En septembre 2022, un désaccord interne conduit à la publication du code source de Lockbit 3.0 sur GitHub. Selon Kaspersky, cette fuite a engendré la création de plus de 400 variantes de Lockbit 3.0.sous le modèle ransomware-as-a-service (RaaS), permettant à d'autres cybercriminels d'utiliser son logiciel malveillant moyennant une commission. Initialement connu sous le nom de ‘’abcd’’, en référence à l’extension ajoutée lors du chiffrement des données, Lockbit s'est fait rapidement un nom dans le monde de la cybercriminalité.
Modus Operandi
1. Méthode d'Infection
Lockbit utilise diverses méthodes pour infiltrer les systèmes informatiques de ses victimes, notamment :
-
-
Phishing: envoi de mails frauduleux pour recueillir des informations sensibles. En février 2023, Lockbit a utilisé une campagne de phishing sophistiquée pour infiltrer le système de Royal Mail, entraînant une demande de rançon de 80 millions de dollars. Les emails contenaient des liens malveillants qui, une fois cliqués, permettaient aux attaquants d'accéder aux réseaux internes de l'entreprise et de chiffrer des données critiques.
-
Exploitation de failles de sécurité: ciblage des systèmes obsolètes ou non protégés.Les affiliés de Lockbit exploitent des vulnérabilités anciennes comme récentes pour pénétrer les systèmes. En 2022, Lockbit a exploité une vulnérabilité dans le service RDP (Remote Desktop Protocol) d'une entreprise pour obtenir un accès initial, puis a utilisé des outils comme PsExec pour se propager latéralement à travers le réseau, chiffrant les données sur de nombreux systèmes et exigeant une rançon substantielle.Les vulnérabilités dans les applications accessibles depuis Internet, comme Log4Shell, sont souvent exploitées. Lockbit a utilisé cette méthode pour accéder à des systèmes en compromettant des serveurs RDP avec des identifiants faibles. Pour des détails supplémentaires sur ces vulnérabilités, consultez le catalogue des vulnérabilités exploitées connues (KEV) de la CISA.
- Installation de logiciels malveillants: utilisation de backdoors pour un accès furtif. Plus récemment, Lockbit a utilisé le logiciel ConnectWise RMM pour pénétrer les systèmes de plusieurs clients d'un fournisseur de services gérés. Les attaquants ont installé des versions malveillantes du logiciel pour établir une persistance et exfiltrer des données avant de déployer le ransomware sur les systèmes compromis.
-
2. Phases d'Attaque
-
-
Exploitation: utilisation de techniques d’ingénierie sociale ou d’attaques par brute force pour infiltrer un réseau et obtenir des identifiant VPN ou RDP. Lockbit a souvent recours à des attaques par force brute pour deviner les mots de passe de comptes RDP exposés. Par exemple, en 2022, une attaque a été lancée contre une entreprise en exploitant des identifiants RDP faibles pour obtenir un accès initial au réseau.
-
Infiltration: obtention de privilèges élevés et préparation du déploiement du ransomware. Une fois l'accès initial obtenu, Lockbit cherche à élever ses privilèges pour accéder à des systèmes plus sensibles. Par exemple, lors d'une attaque en 2023, Lockbit a utilisé des outils comme Mimikatz pour voler des identifiants et des mots de passe d'administrateurs, leur permettant de contrôler plus de systèmes au sein du réseau compromis.
-
Persistence: pour maintenir leur accès au réseau compromis, les affiliés de Lockbit utilisent différentes techniques de persistance comme l'activation de la connexion automatique pour maintenir l'accès ou l'utilisation continue des identifiants compromis pour rester dans le réseau.
-
Évasion de défense: les affiliés de Lockbit déploient plusieurs techniques pour éviter la détection et désactiver les défenses du réseau comme l'utilisation d'outils comme Defender Control pour désactiver les processus et services EDR ou l'effacement des fichiers journaux d'événements pour cacher leurs traces.
-
Mouvement latéral: les cybercriminels de Lockbit cherchent à se déplacer latéralement dans le réseau compromis pour étendre leur emprise comme l'utilisation de logiciels de bureau à distance comme Splashtop pour le mouvement latéral ou l'utilisation de Cobalt Strike pour cibler les partages SMB pour le mouvement latéral. Lockbit utilise souvent des GPOs pour propager le ransomware à travers le réseau. Par exemple, en 2022, une attaque documentée a montré que Lockbit utilisait des GPOs pour déployer des charges utiles malveillantes sur plusieurs machines, chiffrant les données et déposant des notes de rançon sur chaque appareil infecté. En février 2023, Lockbit a utilisé un outil propriétaire appelé Stealbit pour exfiltrer des données sensibles avant de les chiffrer. Cela leur permet d'avoir un levier supplémentaire pour extorquer les victimes en menaçant de divulguer les données volées si la rançon n'est pas payée.
-
4. Chiffrement des données
Une fois l'accès initial obtenu, les affiliés de Lockbit exécutent des commandes malveillantes pour déployer le ransomware comme l'utilisation de scripts batch pour exécuter des commandes malveillantes via Windows Command Shell ou l'utilisation de Chocolatey pour déployer des logiciels malveillants sur les systèmes infectés.
Pour maximiser l'impact de leurs attaques et rendre l'accès aux données impossible, les affiliés de Lockbit utilisent diverses techniques destructives :
-
- Chiffrement des Données: chiffrement des données sur les systèmes cibles pour interrompre leur disponibilité.
- Défiguration interne: modification des fonds d'écran et des icônes du système avec la marque Lockbit 3.0.
- Inhibition de la récupération système: suppression des copies de volume shadow pour empêcher la récupération des données.
4. Demande de Rançon
-
- Après le chiffrement, Lockbit affiche une note de rançon, demandant le paiement en cryptomonnaie sous peine de destruction ou divulgation des données.
Comment se protéger de Lockbit ?
Pour renforcer leur posture en cybersécurité et mieux se défendre contre les activités de Lockbit, les organisations sont encouragées à mettre en œuvre les mesures de mitigation développées par la CISA et le NIST. Ces mesures offrent une protection de base contre les menaces les plus courantes et les plus impactantes.
-
Accès Initial: Utilisez des navigateurs sandboxed pour isoler le système des malwares provenant de la navigation web. Appliquez des politiques de mots de passe exigeant des mots de passe longs d'au moins 15 caractères, stockés de manière sécurisée. Utilisez l'authentification multifactorielle pour les services critiques. Séparez les réseaux pour limiter la propagation des ransomwares. Filtrez les emails malveillants à la passerelle de messagerie.
-
Execution: Contrôlez les connexions réseau avec une matrice de flux réseau. Activez la journalisation avancée de PowerShell pour détecter l'utilisation malveillante.
-
Élévation de Privilèges: Restreignez les activités de ligne de commande pour empêcher l'escalade des privilèges. Utilisez Credential Guard pour protéger les identifiants système.
-
Évasion de défense: Establish application whitelisting and enforce local security policies.
-
Accès aux identifiants: Limitez l'utilisation de NTLM avec des politiques de sécurité.
-
Découverte: Désactivez les ports non utilisés pour les besoins professionnels.
-
Mouvement latéral: Surveillez les activités anormales avec des outils de surveillance réseau.
-
Commandes et contrôles: Créez des zones de confiance pour les actifs sensibles. Adoptez une architecture Zero Trust pour le VPN.
-
Exfiltration de Données: Créez des zones de confiance pour les actifs sensibles. Adoptez une architecture Zero Trust pour le VPN.
- Impact: Maintenez plusieurs copies de données sensibles dans des endroits sécurisés. Mettez à jour régulièrement les sauvegardes hors ligne.
- Validation des contrôles de sécurité Testez et validez continuellement votre programme de sécurité contre les techniques de MITRE ATT&CK pour assurer une protection optimale.
Opération Cronos
En février 2022, les forces de l'ordre prennent les choses en main et infiltrent les systèmes de Lockbit. Elles saisissent des millions de dollars de rançon, forçant le groupe à suspendre temporairement ses activités. Pourtant, Lockbit reprend ses activités dès mars 2022 et lance une série d'attaques contre des entreprises de premier plan.
Les premières arrestations liées à Lockbit débutent en octobre 2022, lors de l’opération Cronos, menée conjointement par les autorités de 11 pays. En octobre 2022, les autorités canadiennes interceptent Mikhael Vasiliev, soupçonné d'être un membre influent de Lockbit. L'analyse de son matériel révèle son implication dans plus d'une centaine d'attaques en France et ses liens avec d'autres groupes de hackers tels que Blackcat, Ragnarlocker et Darkside.
En mai 2023, le FBI offre une récompense de 10 millions de dollars pour toute information permettant d'identifier Mikhail Pavlovich Matveev, alias "Wazawaka", considéré comme crucial dans le développement et l'évolution des rançongiciels utilisés par Lockbit. Malgré les efforts déployés, Lockbit continue de tenir tête aux autorités. En juin 2023, sept agences internationales de cybersécurité publient un guide pour aider les entreprises à se protéger contre ce rançongiciel redoutable.
En février 2024, l’opération Cronos menée par plusieurs polices internationales conduit à un coup d'éclat avec la saisie de l’infrastructure du groupe. Cette opération est le fruit d'une investigation minutieuse menée sur plusieurs années par Europol, la NCA et les autorités nationales des pays concernés. La collaboration internationale sans faille a permis de collecter des preuves, analyser des millions de transactions financières et mener des opérations de surveillance complexes pour identifier les membres du réseau et retracer leurs activités.
Cette opération a permis la saisie de plusieurs dizaines de serveurs et plus de deux-cents portefeuilles de crypto-actifs. Les autorités ont mis la main sur un millier de clés de déchiffrements, permettant la création d’un logiciel de déchiffrement mis gratuitement à la disposition des victimes de Lockbit. De plus, le code source du ransomware et certains documents permettant de mieux comprendre l’expansion du groupe ont été découverts.
La réputation de Lockbit ruinée?
Dans un tournant spectaculaire pour la cyber-sécurité mondiale, l'opération Cronos a marqué un coup dur contre la franchise criminelle LockBit, en révélant environ 190 comptes affiliés. Cette révélation émane de l'entreprise de renseignement sur les cybermenaces, Recorded Future, et souligne la réduction significative des options pour le gang. La capacité de LockBit à rebondir a été mise à mal en grande partie à cause de la mauvaise publicité entourant le gang.
En suggérant que LockbitSupp était désormais en collaboration avec les forces de l'ordre pour révéler ses anciens partenaires, les autorités ont utilisé une tentative évidente de tuer dans l’œuf toute tentative de rebond de l'organisation. Cette manœuvre a pour but de dissuader toute association future avec LockbitSupp.
La police s'est également permis de faire un pied de nez au gang de rançongiciel, en détournant son site web consacré aux fuites de données.
Mais à peine quelques semaines plus tard, le groupe de hackers Lockbit a fait un retour remarqué sur le darkweb le 24 février 2024, se moquant des efforts du FBI et de la coalition internationale. Lockbit a révélé avoir restauré ses serveurs et lancé de nouveaux domaines Tor, affichant déjà cinq victimes sur leur page et menaçant de cibler davantage les sites gouvernementaux américains.
Le leader présumé de LockBit démasqué
Dans un communiqué publié ce mardi 7 mai 2024, la National Crime Agency, l’agence nationale de lutte contre la criminalité du Royaume-Uni, a en effet dévoilé une série d’informations sur LockBitSupp, le grand chef des cybercriminels.
Dmitry Yuryevich Khoroshev, ressortissant russe de 31 ans, a été désigné par les autorités internationales comme le cerveau derrière LockBit 3.0. Connu sous le pseudonyme de LockBitSupp, il est maintenant la cible d'une récompense de 10 millions de dollars par le FBI et le ministère américain de la Justice pour 26 chefs d'accusation. Dmitry Yuryevich Khoroshev est désormais soumis à des gels d'avoirs et à des interdictions de voyager.
Ce dernier épisode met en lumière non seulement l'identité présumée de l'opérateur de LockBit, mais aussi le faible nombre de cybercriminels qui profitent réellement de ces activités malveillantes.
Selon les informations de l'opération Cronos, sur 114 affiliés recensés dans l'infrastructure de LockBit avant son interruption, seuls 80 auraient réussi à générer des revenus. La majorité des cybercriminels ne retiraient aucun bénéfice financier de leurs actes.
Avec environ 7 000 attaques documentées entre juin 2022 et février 2024, et seulement 178 victimes ayant engagé des négociations, la majorité des tentatives de ransomware ne parviendrait pas à extorquer de paiement.
Cette révélation intervient après une série de cyberattaques récentes par Lockbit, dont l'attaque du 16 avril 2024 contre l'hôpital de Cannes, qui a conduit à la divulgation de 61 gigaoctets de données confidentielles de patients.
Lockbit, état de la menace
Les autorités continuent de surveiller de près les mouvements au sein de cette nébuleuse.
L'opération Cronos, bien que critiquée pour son manque de discrétion et son efficacité limitée contre le groupe, a néanmoins réussi à réduire de 73% le nombre moyen d'attaques mensuelles de Lockbit au Royaume-Uni depuis février. La NCA affirme que Lockbit fonctionne actuellement à une capacité limitée, bien que le groupe tente de se reconstruire.
Les autorités internationales continuent de cibler les affiliés de Lockbit, responsables des attaques contre des écoles, des hôpitaux et des grandes entreprises. L'efficacité de ces mesures reste à voir, notamment à l'approche des Jeux Olympiques de Paris 2024. La coopération internationale et le partage d'informations entre acteurs publics et privés restent essentiels pour contrer efficacement cette menace.
La suite de cette bataille s’écrira dans un futur proche...