Analyse du groupe rançongiciel LockBit 3.0 : contexte, jeu d’intrusion et recommandations de sécurité

Analyse du groupe rançongiciel LockBit 3.0 : contexte, jeu d’intrusion et recommandations de sécurité


Le groupe rançongiciel LockBit 3.0 est un groupe cybercriminel d’origine russophone ayant pour principal objectif le gain financier.

Selon le site officiel du groupe, celui-ci aurait commencé ses activités le 3 septembre 2019. LockBit 3.0 est un Ransomware-as-a-Service (RaaS) qui s’est progressivement élargi grâce à de multiples campagnes de recrutement en intégrant des opérateurs originaires de multiples pays – notamment européens et asiatiques.

A ce jour, le groupe est vraisemblablement composé d’une centaine d’opérateurs.

LockBit 3.0 : description de la chaîne d’infection et victimologie

Les affiliés du rançongiciel utilisent généralement une technique de double extorsion consistant à exfiltrer des données avant de chiffrer les fichiers d’intérêt et autres systèmes critiques de l’infrastructure de la victime. Certains opérateurs procèdent également à une technique de triple extorsion en réalisant des attaques de déni de service distribué (DDoS) sur le système d’information (SI) ciblé, afin d’augmenter la pression sur la victime.

La chaîne d’infection générique d’une attaque consiste à s’infiltrer dans le SI de la victime, se propager au sein du réseau, compromettre des machines d’intérêt en contournant les moyens de défense, exfiltrer des données d’intérêt sur un serveur contrôlé par un attaquant, chiffrer les données de la cible, et déposer une note de rançon sur une ou plusieurs machines compromises. Dans le cadre d’un non-paiement de la victime, les opérateurs de LockBit 3.0 publient les données exfiltrées sur leur site officiel – disponible sur le dark web.

A date, les opérateurs malveillants attaquent toute entité capable de payer des rançons – les secteurs de l’éducation et du médical font également partie de la victimologie du groupe. Les victimes sont localisées dans le monde entier ; les victimes françaises incluent notamment des entités territoriales, des centres hospitaliers et des sociétés privées. Comme une majorité de groupes rançongiciels, l’exécutable de chiffrement n’est pas déployable sur les pays dits « post-soviétiques ».

LockBit 3.0 : des maliciels développés in-house

Initialement appelé LockBit, le groupe améliore régulièrement son outillage, notamment suite au déploiement de la version 2.0 (LockBit 2.0) de son rançongiciel, qui opère depuis 2021. Une version LockBit 3.0 fut identifiée en juin 2022 avec des capacités additionnelles. Les développeurs du groupe fournissent deux maliciels custom à leurs affiliés : LockBit 3.0 et StealBit.

LockBit 3.0 est la nouvelle version de la charge de chiffrement généralement déployée en fin d’opération afin de chiffrer les données et systèmes d’intérêt de la cible. La version 3.0 s’est vue notamment améliorée par l’exécution de multiples commandes malveillantes, l’arrêt des services antivirus, la modification des GPO – par le biais de commandes PowerShell – et l’autodestruction. La charge de chiffrement est disponible en version Windows et en version Linux.

StealBit est un maliciel de type stealer ayant des capacités d’exfiltration, d’obfuscation et d’autodestruction. Ce maliciel est généralement utilisé dans la phase d’exfiltration des opérations. Plusieurs analyses du maliciel ont révélé que celui-ci fait partie des stealers les plus rapides du marché.

En plus des deux maliciels développés in-house, les opérateurs utilisent également des outils disponibles en source ouverte tels que Mimikatz, Cobalt Strike et BloodHound.

Mettre en place des mesures pour s’en protéger

Bien que chaque groupe rançongiciel possède des techniques d’attaque et des outils spécifiques à ses opérations, des moyens de sécurité généraux sont applicables face à la menace des rançongiciels.

Une gestion des vulnérabilités et un contrôle des accès à distance avec des solutions VPN, et des moyens d’authentification multifacteurs permettent de réduire les risques de compromission initiale d’un système d’information. Le principe de moindre privilège permet également de réduire les risques de latéralisation et d’élévation de privilège au sein d’un SI compromis ; dégrader et perturber les activités des adversaires au sein d’un réseau donnerait du temps additionnel aux équipes de défense pour détecter la compromission. Enfin, mettre en place une politique de sauvegarde de données permet à une victime d’attaque par rançongiciel de redémarrer son activité rapidement dans le cadre d’un chiffrement de ses données.

A noter que des investigations forensiques réalisées par des équipes de réponse à incident (CERT) sont nécessaires à la suite à une attaque de type rançongiciel. La phase de reconstruction d’un SI se réalise seulement après avoir identifié le mode opératoire des adversaires ainsi que l’ensemble du périmètre compromis dans l’attaque.





Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.