NAKIVO > Blog

LockBit Ransomware : ce que vous devez savoir pour vous en protéger

Publié le: février 8, 2024

Written by: NAKIVO Team

&

LockBit reste une menace majeure pour les organisations dans le paysage très diversifié des ransomwares. Au cours du premier semestre 2023, il y a eu plus d’attaques LockBit réussies que celles utilisant toute autre famille de ransomwares, BlackCat et Clop arrivant en deuxième et troisième position.

LockBit a continué à pirater avec succès les plus grandes entreprises et agences gouvernementales du monde tout au long de l’année 2023. En octobre, par exemple, le groupe LockBit a revendiqué une violation des données personnelles du gouvernement canadien, affirmant que 1,5 téraoctet de documents d’archives, y compris les données personnelles de fonctionnaires, avaient été volés. Parmi les autres victimes de premier plan, on peut citer Boeing, la branche américaine de l’ICBC (la plus grande banque chinoise) et le ministère de la Défense britannique.

Say no to ransoms with NAKIVO

Say no to ransoms with NAKIVO

Use backups for fast data recovery after ransomware attacks. Multiple recovery options, immutable local and cloud storage, recovery automation features and more.

DISCOVER SOLUTION

Qu’est-ce que le ransomware LockBit ?

LockBit est un type de ransomware à double extorsion développé par le groupe criminel du même nom, dont les Les premières attaques LockBit remontent à 2019. Le groupe LockBit développe et commercialise le ransomware auprès d’affiliés selon un modèle de ransomware-as-a-service (RaaS) en échange d’un partage des bénéfices provenant des rançons reçues. Les affiliés recrutés utilisent ce ransomware pour mener des attaques. Il a été qualifié de ransomware à double extorsion, car LockBit exfiltre également des données, et les cyberattaquants menacent ensuite de publier ces données sur des sites de fuite.

L’évolution du ransomware LockBit

Le ransomware LockBit a subi plusieurs itérations depuis qu’il a été identifié pour la première fois comme ransomware ABCD, devenant plus sophistiqué au fur et à mesure de son évolution. LockBit est constamment amélioré afin de s’infiltrer dans les réseaux protégés et de rester indétectable. Les pirates recherchent activement les vulnérabilités des systèmes de sécurité et utilisent des techniques d’ingénierie sociale et autres pour garantir le succès de leurs attaques.

Examinons les itérations à ce jour :

ABCD

ABCD était la version initiale du ransomware du groupe LockBit, détectée pour la première fois en septembre 2019. Son nom reflète l’ .abcd ajoutée aux fichiers après leur chiffrement. Cette version du ransomware générait également un fichier bloc-notes intitulé Restore-My-Files.txt dans chaque dossier contenant des données chiffrées. Le fichier décrit les procédures de paiement de la rançon et de restauration des données.

LockBit

LockBit 1.0 ou simplement LockBit est la deuxième version de ce ransomware, qui ajoute l’extension .LockBit aux fichiers cryptés au lieu de .abcd. Cette itération n’est pas très différente de celle d’ABCD en termes de conception et d’exécution. Seules quelques modifications ont été apportées au code backend.

LockBit 2.0

LockBit 2.0, repéré pour la première fois en juin 2021, a été révisé et mis à jour pour devenir une menace plus sérieuse. Cette version utilise les algorithmes AES (Advanced Encryption Standard) et ECC (Elliptic Curve Cryptography) pour effectuer le chiffrement des données. Les pirates utilisent des outils couramment utilisés par les équipes informatiques dans la plupart des organisations pour exécuter du code malveillant et le propager dans les systèmes. Avec la version 2.0, les pirates ont utilisé des commandes WMI (Windows Management Instrumentation), des connexions SMB et des outils PowerShell.

LockBit 2.0 fonctionne hors ligne et, après l’infection, le chiffrement se poursuit, que la machine soit connectée ou non à un réseau. De plus, LockBit 2.0 dispose d’un panneau de contrôle administrateur accessible via un navigateur TOR, ce qui permet aux cybercriminels de suivre leurs attaques.

LockBit 3.0, alias LockBit Black

LockBit Black ou LockBit 3.0 est la version suivante, sortie en juin 2022. Cette version est encore plus évasive et modulaire que ses prédécesseurs, ajoutant des options personnalisables à utiliser lors de la compilation et de l’exécution de la charge utile. Le comportement de LockBit Black peut être modifié après exécution à l’aide d’arguments supplémentaires. De plus, cette version intègre des fonctionnalités d’autres ransomwares tels que Blackcat et Blackmatter.

Les affiliés de LockBit 3.0 doivent fournir le mot de passe correct pour exécuter le ransomware, c’est-à-dire réaliser le décodage de l’exécutable à l’aide d’une clé cryptographique. Ce niveau de protection permet à LockBit 3.0 de tromper les scanners de logiciels malveillants, les empêchant ainsi d’analyser le code.

Il est difficile de détecter les composants exécutables de LockBit 3.0 par des solutions antivirus et anti-malware utilisant un principe de détection basé sur les signatures, car le composant crypté de l’exécutable varie. Ce composant utilise une clé cryptographique pour le chiffrement tout en générant un hachage unique. Après que l’attaquant a saisi le mot de passe correct (ce qui signifie que la clé de déchiffrement est correcte), les principaux éléments de LockBit 3.0 sont décryptés. Le code est ensuite décrypté et décompressé, ce qui active l’exécution du ransomware.

LockBit Green

LockBit Green, sorti en janvier 2023, est la cinquième version de LockBit spécialement modifiée pour cibler les services basés sur le cloud. Cette génération a un nouveau look et un ensemble de fonctionnalités et de fonctions différentes des versions précédentes. Cependant, LockBit Green contient des parties de code qui appartenaient auparavant à un autre ransomware de type locker, Conti, qui n’est plus actif aujourd’hui.

Extensions de fichiers du ransomware LockBit

Après avoir réussi à s’introduire dans le système et à effectuer le chiffrement des données, LockBit modifie l’extension des fichiers d’origine pour lui attribuer l’une des extensions suivantes :

  • .abcd (ransomware ABCD de la génération précédente)
  • .lockbit (LockBit et LockBit 2.0)
  • Une chaîne aléatoire de 9 caractères (LockBit 3.0 et LockBit Green)

Les principales étapes d’une attaque par ransomware LockBit

Une attaque par ransomware LockBit se déroule généralement en trois étapes :

  1. Violation. Les pirates contournent le périmètre de sécurité d’une organisation en envoyant des e-mails de phishing, en usurpant l’identité de cadres supérieurs pour obtenir des identifiants de connexion d’administrateur, en utilisant des attaques par force brute sur les nœuds et les réseaux internes, et par d’autres méthodes. Les exploits pour le protocole Remote Desktop Protocol et les applications publiques sont également largement utilisés.

    Une fois que les pirates ont introduit LockBit dans le réseau de l’organisation, ils achèvent la phase de préparation afin d’augmenter la portée et les dommages futurs de l’attaque par ransomware. Les organisations disposant de réseaux simples et non segmentés ont beaucoup moins de temps pour réagir à une violation.

  2. Infiltration. Le code LockBit commence à participer à l’attaque. Le script effectue toutes les activités à partir de ce moment et utilise des techniques d’escalade de privilèges pour obtenir l’accès requis. Ensuite, le ransomware désactive les pare-feu de sécurité internes et les solutions de détection et de notification des logiciels malveillants afin d’augmenter ses possibilités d’actions destructrices et de rester hors de portée des équipes de sécurité.

    L’objectif principal du ransomware ici est d’atteindre autant de données que possible, augmentant ainsi les dommages et empêchant la récupération indépendante des données.

    Au cours de cette étape, le ransomware Lockbit peut effectuer les actions suivantes pour obtenir le niveau d’accès requis :

    • Arrêt des services et des processus
    • Exécution de commandes
    • Suppression des fichiers journaux

    LockBit 3.0 peut contourner le contrôle de compte d’utilisateur (UAC) de Windows en exécutant un code malveillant avec des privilèges élevés à l’aide du modèle objet composant (COM), par exemple :

    %SYSTEM32%dllhost.exe/Processid:{A14CF3B9-5C92-2583-2846-D359234FBB37}

    Lockbit supprime les clichés instantanés par l’intermédiaire de Windows Management Instrumentation (WMI). Tout d’abord, le ransomware interroge et identifie les clichés instantanés :

    select * from Win32_ShadowCopy

    Ensuite, le ransomware supprime les clichés instantanés à l’aide de DeleteInstance.

    Les services portant ces noms sont supprimés par le ransomware LockBit : vss, sql, svc$, memtas, mepocs, mepocs, sophos, backup, GxVss, GxBlr, GxFWD, GxCVD et GxCIMgr.

    Les processus suivants sont arrêtés : sql, oracle, ocssd, dbsnmp, synctime, agntsvc, isqlplussvc, xfssvccon, mydesktopservice, ocautoupds, encsvc, firefox, tbirdconfig, mydesktopqos, ocomm, ocomm, sqbcoreservice, excel, infopath, msaccess, mspu, onenote, outlook, powerpnt, steam, thebat, thunderbird, visio, winword, wordpad et notepad.

    Après avoir arrêté les processus, les fichiers précédemment ouverts utilisés par ces processus peuvent être modifiés ou supprimés.

  3. Déploiement. Cette étape est lancée lorsque les attaquants estiment que l’infrastructure d’une organisation est suffisamment affaiblie pour commencer à exécuter le chiffrement. Le nœud du système compromis disposant des autorisations requises ordonne alors aux autres Workloads du réseau de télécharger et d’exécuter le code malveillant.

    Les attaquants LockBit peuvent utiliser StealBit pour exfiltrer les données intéressantes avant que celles-ci ne soient chiffrées. Le risque de fuite de données est un autre élément des attaques par ransomware LockBit.

    Après, les données des nœuds accessibles sont chiffrées et LockBit ajoute un fichier .txt contenant les instructions de paiement dans chaque dossier. Le format de nom typique des fichiers .txt est RansomwareID.README.txt.

L’une des fonctionnalités les plus inquiétantes de LockBit est son auto-propagation, qui simplifie le travail des pirates et accélère les attaques en général. Après avoir obtenu un accès administrateur à l’environnement d’une organisation, un pirate informatique n’a plus qu’à lancer le ransomware, le code se chargeant ensuite de livrer les exécutables LockBit à d’autres hôtes accessibles.

Le déchiffrement des fichiers cryptés n’est possible qu’après avoir satisfait aux exigences des pirates et reçu l’outil propriétaire des développeurs de LockBit. Comme mentionné ci-dessus, une autre raison de se conformer serait d’empêcher le partage public de données sensibles ou personnelles.

Les signes d’une infection par LockBit

Le ransomware Lockbit modifie les valeurs du registre, y compris celles responsables de la modification et de la mise à jour de la politique de groupe. La commande permettant de mettre à jour les politiques de groupe après les modifications apportées par LockBit est la suivante :

powershell Get-ADComputer -filter * -Searchbase '%s' | Foreach-Object { Invoke-GPUpdate -computer $_.name -force -RandomDelayInMinutes 0}

Voici quelques-uns des signes dans le registre qui peuvent indiquer une infection par Lockbit :

  • Icône du ransomware :

    HKCR.

    HKCRDefaultIcon

    avec la valeur liée à C:ProgramData.ico

  • Fond d’écran du ransomware :

    HKCUControlPanelDesktopWallPaper

    avec la valeur C:ProgramData.bmp

  • Activation de la connexion automatique à Windows :

    SOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon avec les valeurs appropriées

    AutoAdminLogon 1

    DefaultUserName

    DefaultDomainName

Gardez à l’esprit les chemins d’accès où le ransomware déploie ses fichiers :

  • ADMIN$TempLockBit3.0_Filename.exe
  • %SystemRoot%TempLockBit3.0_Filename.exe
  • Domain_NamesysvolDomain_NamescriptsLockbit3.0_Filename.exe (sur un contrôleur de domaine)

Comment protéger vos données contre la menace LockBit

La protection de vos systèmes contre les ransomwares et les logiciels malveillants en général comporte deux aspects :

  1. Les mesures de sécurité, qui visent à prévenir l’infection en premier lieu
  2. Les stratégies de protection des données : récupération après un incident avec un minimum de perte de données et de temps d’arrêt, sans payer la rançon

Examinons chacune de ces mesures plus en détail.

Mesures de sécurité

  • Mettez régulièrement à jour votre système d’exploitation, vos logiciels et vos micrologiciels , car les composants obsolètes peuvent présenter des vulnérabilités que les pirates peuvent exploiter pour injecter du ransomware dans votre infrastructure. Les développeurs ont tendance à corriger rapidement ces failles et ces faiblesses de sécurité afin de protéger leurs clients.
  • Appliquez la segmentation du réseau à configurez le réseau de votre organisation en compartiments séparés. Un intrus qui scanne le réseau segmenté pour la première fois ne sait pas quelles données se trouvent dans quel segment. Par conséquent, un pirate informatique peut avoir besoin de beaucoup plus de temps et d’efforts pour effectuer une reconnaissance et une intrusion efficace. Bien que cela ne semble pas être le cas spécifiquement pour LockBit, certains cybercriminels utilisant d’autres versions de ransomware peuvent choisir de ne pas attaquer une organisation disposant d’un réseau segmenté sécurisé.
  • Désactivez les ports inutilisés sur votre réseau. Un port ouvert n’est qu’une vulnérabilité supplémentaire qu’un acteur malveillant peut utiliser pour obtenir un accès non autorisé aux nœuds internes et mener une attaque.
  • Surveillez les réseaux à la recherche d’anomalies de comportement à l’aide de solutions de surveillance active des réseaux et des nœuds. Cela peut considérablement améliorer votre connaissance de la situation à tout moment. Outre l’activation des tests approfondis et l’élimination des goulets d’étranglement de la bande passante réseau dès qu’ils apparaissent, la surveillance active permet de détecter rapidement les vulnérabilités. Des temps de réponse rapides peuvent vous aider à atténuer les conséquences d’une attaque, voire à empêcher la propagation des logiciels malveillants.
  • Utilisez un antivirus avec détection des menaces en temps réel. Malgré leurs similitudes avec les solutions de surveillance, les solutions antivirus peuvent vous offrir des capacités de surveillance des appliances, y compris les serveurs et les postes de travail, en plus de la surveillance du réseau.

    Il est vrai que LockBit est sournois et capable de tromper les scanners de logiciels malveillants, mais les pirates peuvent utiliser d’autres outils moins furtifs pour mettre en place et soutenir leurs attaques. Un antivirus actif en temps réel vous avertira dès qu’un problème survient dans l’environnement d’une organisation.

  • Intégrez des solutions anti-hameçonnage pour contrer les techniques d’ingénierie sociale utilisées par les affiliés de LockBit pour compromettre la sécurité d’une organisation. La désactivation des hyperliens dans les adresses e-mail et l’ajout de bannières d’avertissement pour les e-mails provenant de l’extérieur d’une organisation peuvent vous aider à réduire le risque qu’un membre de l’équipe inattentif clique sur un lien de hameçonnage.

Stratégies de protection des données

Étant donné que LockBit peut s’introduire sans être détecté et tromper les outils de surveillance des menaces, vous devez mettre en place une deuxième ligne de défense pour vous assurer de pouvoir réaliser la récupération de vos données après un incident de ransomware. Votre plan d’intervention en cas d’incident doit inclure une stratégie de sauvegarde des données et de reprise après sinistre.

Créez un plan de protection des données.

  • Identifiez les VMs et les applications critiques. Pour éviter toute perte de données, maintenir la disponibilité et garantir la conformité même après une attaque par ransomware, vous devez utiliser la sauvegarde et la réplication pour protéger vos machines. La première étape d’une stratégie de protection des données consiste à dresser l’inventaire des données et des machines critiques nécessaires à la continuité des activités. L’étape suivante consiste à déterminer le degré de criticité de chaque machine afin de vous aider à définir la fréquence des sauvegardes, les politiques de conservation et les objectifs de récupération.
  • Définissez les RPO et RTO de votre entreprise. Une fois que vous savez exactement où se trouvent vos données critiques, vous pouvez définir les objectifs de point de récupération (RPO) et les objectifs de temps de récupération (RTO) adaptés à chaque type de machine de production. Les RPO et RTO font référence à la quantité maximale de perte de données et de temps d’arrêt que votre entreprise peut tolérer.
  • Définissez un calendrier de tests de protection des données. Effectuez régulièrement des sauvegardes et testez votre stratégie de récupération après sinistre et assurez-vous que chaque membre de l’équipe comprend son rôle dans le processus de récupération. Le pire moment pour découvrir que vos données sont irrécupérables est lorsque les données d’origine sont déjà perdues ou cryptées.

Suivez la règle de sauvegarde 3-2-1-1.

  • Conservez autant de copies de données que possible. Déterminez le nombre de sauvegardes à créer et la politique de conservation en fonction de l’importance d’une machine ou d’une application. Pour optimiser vos chances de récupération, appliquez la stratégie de sauvegarde 3-2-1 : créez au moins trois (3) copies de vos données à tout moment : les données principales et deux copies de sauvegarde. Deuxièmement, stockez les données sur deux (2) types de supports différents. Troisième, conservez une (1) copie hors site pour garantir la récupération en cas de sinistre touchant votre site de production.
  • Protégez les sauvegardes contre les ransomwares. Les pirates informatiques constituent une menace pour les données de sauvegarde tout autant que pour les machines de production. C’est pourquoi, de nos jours, la règle de sauvegarde a été élargie pour inclure une copie immuable supplémentaire. L’immuabilité utilise le modèle « write-once-read-many pour protéger les données contre la corruption, le chiffrement et la suppression. Cela signifie que les nouvelles attaques par ransomware ne peuvent pas altérer ces données, et qu’une copie immuable peut être utilisée pour la récupération des données si les données de production sont inaccessibles.

Utilisation de la solution de protection des données de NAKIVO

Une solution dédiée à la protection des données vous permet d’automatiser les processus de protection des données afin d’éviter de surcharger vos ressources et de prévenir les lacunes en matière de conservation. La solution offre également toutes les fonctionnalités nécessaires pour appliquer la règle 3-2-1-1, y compris l’immuabilité et la hiérarchisation des données de sauvegarde :

  • Sauvegardes immuables envoyées vers le cloud (Amazon S3, Wasabi, Backblaze B2 et autres plateformes compatibles S3), stockage local basé sur Linux (y compris les appliances NAS)
  • Automatisation des copies de sauvegarde avec Chaînage de tâches pour vous permettre de diversifier le stockage avec des sauvegardes hors site et sur bande en créant des workflows automatisés
  • Fonctionnalités de sécurité pour empêcher tout accès non autorisé, notamment l’Authentification à deux facteurs (2FA) et les contrôles d’accès basés sur les rôles (RBAC) pour vous aider à appliquer le principe du moindre privilège (PoLP), en limitant les autorisations d’accès des membres de l’équipe en fonction de leurs responsabilités au sein de votre organisation
  • Les fonctionnalités de reprise après sinistre intégrées telles que Réplication en temps réel et Reprise après sinistre peuvent vous aider à respecter des RPO de 1 seconde et les RTO les plus stricts
  • Des options de récupération complètes et granulaires vous offrent la flexibilité nécessaire pour réaliser la récupération exactement de ce dont vous avez besoin dans les plus brefs délais.

Try NAKIVO Backup & Replication

Try NAKIVO Backup & Replication

Get a free trial to explore all the solution’s data protection capabilities. 15 days for free. Zero feature or capacity limitations. No credit card required.

Try for Free

Les gens qui ont consulté cet article ont également lu

Picture
Environnements de calcul dans AWS Batch : comment les configurer
Picture
Sauvegarde sur bande magnétique : choisissez la meilleure pratique de sauvegarde
Picture
Sauvegarde sécurisée pour Microsoft 365 avec le stockage dans le cloud Wasabi