La menace Lockbit s’accentue. Suite à une fuite d’ampleur, de nombreux cybercriminels ont mis au point leur propre version du ransomware. Comme Conti et Babuk, le virus a été adopté par des pirates avec peu de compétences techniques.
En septembre 2022, le ransomware Lockbit s’est brusquement retrouvé entre les mains de tous les cybercriminels. Le kit de développement de la troisième version du virus, LockBit 3.0, a en effet été divulgué sur le dark web. D’après une enquête menée par Kaspersky, deux variantes différentes de l’outil sont apparues en ligne. Les fichiers ont notamment été publiés sur X (ex-Twitter) par un ancien développeur employé par le gang. Celui-ci était mécontent des décisions prises par les responsables.
L’outil divulgué par le programmeur revanchard permet aux cybercriminels de créer facilement leur propre version du ransomware. Les pirates peuvent par exemple personnaliser le message de rançon, le montant exigé, ou les méthodes de chiffrement des données de l’ordinateur, sans avoir de compétences en programmation. Ce type de kit est bien souvent vendu ou partagé sur des forums illégaux du dark web.
À lire aussi : les hackers de 8Base sèment le chaos avec un ransomware
Près de 400 copies de Lockbit dans la nature
En s’appuyant sur ce kit, une foule de hackers n’ont pas tardé à lancer leur propre itération de Locktbit sans devoir payer les créateurs du malware. Les pirates de Lockbit proposent en effet leur création par le biais d’un abonnement. Les chercheurs en sécurité informatique ont dénombré près de 400 variantes du virus.
Kaspersky a pu confirmer que la plupart de ces versions ont bien été conçues avec l’aide du kit divulgué l’an dernier en analysant le code. La majorité des itérations épinglées sont très proches de la version initiale. Les clones de Lockbit ont probablement été « développés pour des besoins urgents ou peut-être par des acteurs paresseux », imagine la société russe.
Un virus rapidement adopté par les pirates
Un gang inconnu, baptisé National Hazard Agency, s’est notamment servi du ransomware pour déployer des attaques visant des entreprises. Cette version, analysée par Kaspersky, redirige les victimes vers la plateforme Tox. C’est par le biais de cette plateforme du dark web que les cibles doivent régler la rançon en cryptomonnaies. Il s’agit d’une différence majeure par rapport à la version originelle de Lockbit 3.0, qui s’appuie sur sa propre plateforme de paiement.
Un autre groupe de cybercriminels, intitulé Bl00Dy Ransomware Gang, a également exploité le kit pour concevoir son propre Lockbit. Une variante du virus a été utilisée pour pirater et rançonner une société ukrainienne. Ces pirates ont l’habitude de se servir du code d’autres cybercriminels pour mener leurs opérations. Depuis leurs premiers méfaits en août 2022, ils ont mené des attaques avec des versions personnalisées de Conti, un ransomware russe dont le code source a fuité, et Babuk, un virus qui a progressivement disparu depuis deux ans.
Notez qu’on trouve des traces de ces deux maliciels dans une grande partie des ransomwares en activité. Ces deux logiciels ont en effet été massivement adoptés par les cybercriminels qui cherchent à concevoir rapidement leur propre arsenal à la suite d’une fuite. Il est probable que le même sort attende Lockbit.
« Lorsqu’un rançongiciel arrive dans la nature, il est courant de voir des cybercriminels réutiliser les mêmes échantillons de rançongiciels – en modifiant légèrement la base de code – pour animer d’autres projets », explique le chercheur Rakesh Krishnan à The Hacker News.
Pour mémoire, il s’agit d’un des plus redoutables ransomwares au monde. Le virus est en effet capable de chiffrer plus de 17 000 fichiers par minute. Lockbit a même longtemps été considéré comme le ransomware le plus efficace du marché, avant d’être récemment détrôné par Rorschach. C’est aussi l’un des rançongiciels les plus actifs avec plus de 150 attaques en trois mois. Parmi les faits d’armes de Lockbit, on trouve le piratage de l’opérateur postal britannique Royal Mail, du plus grand hôpital pédiatrique du Canada, et du ministère de la Justice en France.
Source :
Kaspersky