Si vous êtes au courant des menaces de cybersécurité auxquelles le monde est confronté quotidiennement, vous savez probablement à quel point les ransomwares peuvent être dangereux. Ce type de malware est une menace si énorme pour les individus et les organisations que certaines souches sont désormais le premier choix des acteurs malveillants, y compris LockBit.
Alors, qu'est-ce que LockBit, d'où vient-il et comment pouvez-vous vous en protéger ? Vérifier Pourquoi les ransomwares sont-ils une menace majeure pour les universités ?
Qu'est-ce que le rançongiciel LockBit ?
Le rançongiciel LockBit est un programme malveillant conçu pour empêcher l'accès d'un utilisateur au système d'exploitation d'un ordinateur jusqu'au paiement d'une rançon. LockBit recherche automatiquement des cibles précieuses, se déploie et crypte tous les systèmes informatiques accessibles sur le réseau. L'utilisation principale de ce rançongiciel est de lancer de graves attaques contre des entreprises et d'autres organisations.
LockBit est une nouvelle attaque de ransomware dans une longue lignée de cyberattaques d'extorsion. Ce type de ransomware a d'abord été connu sous le nom d'ABCD, et depuis lors, il s'est propagé pour devenir une menace unique dans le cadre de ces outils d'extorsion. LockBit est une sous-catégorie de ransomware connue sous le nom de "cryptovirus" parce que son ransomware est formé autour du paiement pour le décryptage, il se concentre donc principalement sur les entreprises et les organisations gouvernementales plutôt que sur les individus.
Alors que LockBit a commencé comme une seule chaîne de ransomwares, elle a depuis évolué plusieurs fois, avec la dernière version connue sous le nom de "LockBit 3.0" (dont nous parlerons plus tard). LockBit comprend une suite de ransomwares, qui fonctionne selon le modèle de ransomware-as-a-service (RaaS).
Le ransomware-as-a-service est un modèle commercial qui consiste à payer les utilisateurs pour accéder à un certain type de ransomware afin qu'ils puissent l'utiliser pour lancer leurs propres attaques. Grâce à cela, les utilisateurs deviennent affiliés et leurs paiements peuvent inclure un forfait ou un service par abonnement. En bref, le développeur de LockBit a trouvé un moyen d'augmenter les bénéfices de son utilisation en utilisant ce modèle RaaS, et il peut même obtenir une partie de la rançon payée par les victimes.
Un certain nombre d'autres rançongiciels sont accessibles via le modèle RaaS, notamment DarkSide et le mal. En outre, LockBit est l'un des types de rançongiciels les plus populaires utilisés aujourd'hui.
Étant donné que LockBit est une famille de rançongiciels, son utilisation implique le chiffrement des fichiers de la cible. Le cybercriminel s'infiltrera d'une manière ou d'une autre dans l'appareil de la victime, peut-être par le biais d'un e-mail de phishing ou d'une pièce jointe malveillante, puis utilisera LockBit pour chiffrer tous les fichiers sur l'appareil afin que l'utilisateur ne puisse pas y accéder.
Une fois les fichiers de la victime cryptés, l'attaquant exigera une rançon en échange de la clé de décryptage. Si la victime ne se conforme pas au paiement de la rançon, il est alors possible que l'attaquant revende ensuite les données sur le dark web à des fins lucratives. Selon la nature des données, cela peut causer un préjudice irréversible à la vie privée d'un individu ou d'une organisation, ce qui pourrait augmenter la pression du paiement de la rançon.
Mais d'où vient ce rançongiciel extrêmement dangereux ?
L'origine du rançongiciel LockBit
On ne sait pas exactement quand LockBit a été développé, mais son histoire reconnue remonte à 2019, date à laquelle il a été découvert pour la première fois. La découverte est intervenue après la première vague d'attaques LockBit, lorsque le ransomware a été initialement inventé sous le nom de "ABCD" en référence au nom du format de fichier crypté qui a été exploité lors des attaques. Mais lorsque les attaquants ont commencé à utiliser le format de fichier ".lockbit" à la place, le nom du ransomware a changé pour ce qu'il est aujourd'hui.
La popularité de LockBit a grimpé en flèche après le développement de la deuxième itération, LockBit 2.0. Fin 2021, LockBit 2.0 était de plus en plus utilisé par les affiliés d'attaque, et lorsque d'autres ransomwares ont été arrêtés, LockBit a pu profiter de l'écart sur le marché.
En fait, l'utilisation accrue de LockBit 2.0 a consolidé sa position de "variante de ransomware la plus influente et la plus répandue que nous ayons observée dans toutes les violations de ransomware au cours du premier trimestre 2022", selon Pour le rapport Palo Alto .. De plus, Palo Alto a mentionné dans le même rapport que les opérateurs de LockBit prétendent avoir le cryptage le plus rapide de tous les ransomwares actuellement actifs.
Le rançongiciel LockBit a été détecté dans plusieurs pays du monde, dont la Chine, les États-Unis, la France, l'Ukraine, le Royaume-Uni et l'Inde. Un certain nombre de grandes organisations ont également été ciblées à l'aide de LockBit, notamment Accenture, une société de services professionnels irlandaise-américaine.
Accenture a subi une violation de données à la suite de l'utilisation de LockBit en 2021, dans laquelle les attaquants ont exigé une rançon massive de 50 millions de dollars, avec plus de 6 téraoctets de données cryptées. Accenture n'a pas accepté de payer cette rançon, malgré l'affirmation de l'entreprise selon laquelle aucun client n'a été touché par l'attaque.
LockBit 3.0 et ses risques
Avec la popularité croissante de LockBit, chaque nouvelle itération est une préoccupation majeure. La dernière version de LockBit, connue sous le nom de LockBit 3.0, est déjà devenue un problème, en particulier dans les systèmes d'exploitation Windows.
À l'été 2022, LockBit 3.0 a été utilisé pour charger le Cobalt Strike malveillant sur des appareils ciblés via un exploit Windows Defender. Dans cette vague d'attaques, un fichier de ligne de commande exécutable connu sous le nom de MpCmdRun.exe a été utilisé à mauvais escient, afin que les indicateurs Cobalt Strike puissent contourner la détection de sécurité.
LockBit 3.0 a également été utilisé dans un exploit de ligne de commande VMWare connu sous le nom de VMwareXferlogs.exe pour diffuser à nouveau les charges utiles Cobalt Strike. On ne sait pas si ces attaques se poursuivront ou se transformeront complètement en quelque chose d'autre.
De toute évidence, le rançongiciel LockBit présente un risque élevé, tout comme de nombreux rançongiciels. Alors, comment pouvez-vous vous protéger? Vérifier Qu'est-ce qu'un logiciel malveillant Wiper ? Est-ce pire qu'une attaque de ransomware ?
Comment se protéger du rançongiciel LockBit
Étant donné que le rançongiciel LockBit doit d'abord être présent sur votre appareil pour chiffrer les fichiers, vous devez essayer de le couper de la source et d'empêcher complètement l'infection. Bien qu'il soit difficile de garantir une protection contre les ransomwares, vous pouvez faire beaucoup pour rester à l'écart autant que possible.
Premièrement, il est essentiel que vous ne téléchargiez jamais de fichiers ou d'applications à partir de sites Web totalement illégaux. Le téléchargement de tout type de fichier non vérifié sur votre appareil peut permettre à un attaquant de rançongiciel d'accéder facilement à vos fichiers. Assurez-vous de n'utiliser que des sites Web fiables et bien évalués pour vos téléchargements, ou des magasins d'applications officiels pour installer des applications.
Un autre facteur à noter est que le rançongiciel LockBit se propage souvent via le protocole de bureau à distance (RDP). Si vous n'utilisez pas cette technique, vous n'avez pas à vous soucier de cet indicateur. Cependant, si vous le faites, il est important de sécuriser votre réseau RDP avec une protection par mot de passe, des VPN et de désactiver le protocole lorsqu'il n'est pas immédiatement utilisé. Les opérateurs de rançongiciels analysent souvent Internet à la recherche de connexions RDP faibles. Par conséquent, l'ajout de couches de protection supplémentaires rendra le réseau RDP moins vulnérable aux attaques. Vérifier Comparaison entre RDP et VPN : quelle est la différence ?
Les rançongiciels peuvent également être propagés par Phishing , qui est une méthode d'infection et de vol de données très courante utilisée par l'acteur malveillant. Le phishing se propage généralement via des e-mails, où l'attaquant joint un lien malveillant au corps de l'e-mail pour convaincre la victime de cliquer dessus. Ce lien mènera à un site Web malveillant qui peut faciliter l'infection par des logiciels malveillants.
L'hameçonnage peut être évité de plusieurs façons, notamment en utilisant des fonctionnalités anti-spam, des sites de vérification des liens et des applications antivirus. Vous devez également vérifier l'adresse de retour de tout nouvel e-mail et rechercher les fautes d'orthographe dans les e-mails (puisque les e-mails frauduleux sont souvent remplis de fautes d'orthographe et de grammaire). Vérifier Des moyens rentables de mettre en œuvre la cybersécurité dans les limites du budget.
LockBit est toujours une menace mondiale
LockBit continue d'évoluer et de cibler de plus en plus de victimes : ce ransomware ne va pas disparaître de sitôt. Pour vous protéger de LockBit et des ransomwares en général, gardez à l'esprit certains des conseils mentionnés ci-dessus. Bien que vous puissiez penser que vous ne deviendrez jamais une cible, il est toujours sage de prendre des précautions de toute façon. Vous pouvez désormais visualiser Les choses les plus importantes que vous devez savoir sur les ransomwares.
