Qu’est-ce que le ransomware LockBit 3.0 et que pouvez-vous faire à son sujet ?
Le vol, l’extorsion, le chantage et le jeu d’acteur pullulent en ligne, des milliers d’individus tombant chaque mois sous le coup de diverses escroqueries et attaques. L’un de ces modes de frappe fait appel à une sorte de ransomware connu sous le nom de LockBit 3.0. Alors, d’où vient ce ransomware, comment est-il utilisé et que pouvez-vous faire pour vous protéger ?
D’où vient LockBit 3.0 ?
LockBit 3.0 (également connu sous le nom de LockBit Black) est un stress de ransomware enfanté par le ménage de ransomware LockBit. Il s’agit d’un groupe de ransomware qui a été découvert pour la toute première fois en septembre 2019, après que la toute première vague d’attaques ait eu lieu. Initialement, LockBit était désigné comme le « . abcd virus », mais à ce moment-là, il n’était pas reconnu que les fabricants et les utilisateurs de LockBit continueraient certainement à développer de nouvelles versions du programme ransomware original.
La famille de programmes de ransomware de LockBit se propage d’elle-même, mais seules des personnes particulières sont ciblées – principalement celles qui ont la capacité de payer une énorme rançon. Ceux qui utilisent le ransomware LockBit acquièrent généralement un accès au protocole de bureau à distance (RDP) sur le dark internet afin de pouvoir accéder aux appareils des cibles à distance ainsi que de manière extra rapide.
Les opérateurs de LockBit ont en fait ciblé des entreprises dans le monde entier depuis sa première utilisation, notamment au Royaume-Uni, aux États-Unis, en Ukraine et en France. Cette famille de programmes nuisibles utilise le concept de Ransomware-as-a-Service (RaaS), dans lequel les utilisateurs peuvent payer les pilotes pour avoir accès à un type de ransomware proposé. Cela inclut souvent un type d’adhésion. Souvent, les individus peuvent également examiner les statistiques pour voir si leur utilisation LockBit ransomware a réussi.
Ce n’est qu’en 2021 que LockBit est devenu un type de ransomware très répandu, via LockBit 2.0 (le prédécesseur du stress actuel). Les gangs qui utilisaient ce ransomware ont alors décidé d’adopter le concept de double extorsion. Cela implique à la fois la sécurisation et l’exfiltration (ou le déplacement) des fichiers d’une personne vers un autre outil. Cette approche d’assaut supplémentaire rend l’ensemble de la circonstance encore plus effrayante pour la personne ou l’entreprise ciblée.
Le plus récent type de ransomware LockBit a été déterminé comme LockBit 3.0. Alors, comment fonctionne exactement LockBit 3.0, et aussi comment est-il utilisé aujourd’hui ?
Qu’est-ce que le LockBit 3.0 ?
À la fin du printemps 2022, un tout nouveau modèle de l’équipe de ransomware LockBit a été découvert : LockBit 3.0. En tant que ransomware, LockBit 3.0 peut sécuriser ainsi qu’exfiltrer toutes les données d’un gadget infecté, permettant à l’agresseur de tenir les données de la victime en otage évidemment jusqu’au paiement de la rançon demandée. Ce ransomware est actuellement actif dans la nature, et cause également beaucoup de problèmes.
Le processus d’une attaque commune de LockBit 3.0 est :
- LockBit 3.0 contamine le gadget d’une victime, crypte les documents, ainsi qu’ajoute l’extension des fichiers cryptés comme « HLjkNskOq ».
- Un secret de débat en ligne de commande connu sous le nom de « – pass » est ensuite nécessaire pour exécuter la sécurité.
- LockBit 3.0 développe de nombreux threads pour effectuer de nombreuses tâches simultanément afin de s’assurer que le cryptage des informations puisse être réalisé en beaucoup moins de temps.
- LockBit 3.0 supprime des services ou des fonctionnalités particulières pour rendre le cryptage des fichiers ainsi que le processus d’exfiltration que beaucoup plus facile.
- Une API est utilisée pour nourrir l’accès aux sources de données du gestionnaire de contrôle des solutions.
- Le fond d’écran de l’ordinateur de bureau de la cible est modifié pour s’assurer qu’elle reconnaisse qu’elle est sous le feu.
Si la victime ne paie pas la rançon dans le délai imparti, les agresseurs de LockBit 3.0 commercialisent les informations qu’ils ont obtenues sur l’Internet obscur auprès d’autres cybercriminels. Cela peut être tragique pour une cible privée comme pour une organisation.
Au moment où nous écrivons ces lignes, LockBit 3.0 est surtout connu pour avoir manipulé Windows Defender afin de déployer Cobalt Strike, un outil de détection de pénétration qui peut déposer des charges utiles. Ce logiciel peut également provoquer une chaîne d’infections de logiciels malveillants à travers plusieurs outils.
Dans cette procédure, le dispositif de ligne de commande MpCmdRun.exe est utilisé pour que l’agresseur puisse décrypter ainsi que libérer les signes. Cela se fait en trompant le système pour qu’il se concentre sur ainsi que le chargement d’une DLL (Dynamic-Link Library) destructive.
Les données de l’exécutable MpCmdRun.exe sont utilisées par Windows Defender pour rechercher les logiciels malveillants, empêchant ainsi l’outil d’endommager les données et les programmes. Étant donné que Cobalt Strike peut contourner les procédures de sécurité de Windows Defender, il est devenu extrêmement avantageux pour les attaquants de ransomware.
Cette stratégie, également appelée « side-loading », permet aux événements malveillants d’héberger ou de prendre des informations sur les gadgets infectés.
Comment éviter le ransomware LockBit 3.0 ?
LockBit 3.0 est un problème croissant, en particulier parmi les grandes entreprises qui ont des monceaux de données qui peuvent être cryptées et exfiltrées. il est crucial de s’assurer que vous évitez ce type d’assaut dangereux.
Pour ce faire, vous devez d’abord vous assurer que vous utilisez des mots de passe super forts et une vérification à deux facteurs sur tous vos comptes. Grâce à ce niveau de sécurité supplémentaire, il sera beaucoup plus difficile pour les cybercriminels de vous attaquer avec un ransomware. Pensez aux attaques de ransomware par le protocole de bureau à distance, par exemple. Dans une telle situation, l’agresseur va certainement vérifier sur le web les connexions RDP à risque. Donc, si votre lien est protégé par un mot de passe et fait usage de 2FA, vous êtes beaucoup moins susceptible d’être ciblé.
En outre, vous devez toujours maintenir l’os et les programmes antivirus de vos outils à jour. Les mises à jour des programmes logiciels peuvent être longues et également frustrantes, pourtant il y a une raison pour laquelle elles existent. Ces mises à jour incluent fréquemment des corrections de bogues et des attributs de sécurité ajoutés pour garder vos gadgets ainsi que vos informations protégées, alors ne manquez pas l’occasion de maintenir vos appareils à jour.
Une autre action essentielle à entreprendre non pas pour éviter les assauts de ransomware, mais leurs répercussions, est de sauvegarder les documents. Occasionnellement, les adversaires des ransomwares conservent des infos importantes dont vous avez besoin pour de nombreux facteurs, donc avoir une sauvegarde atténue dans une certaine mesure l’étendue des dommages. Les duplicatas hors ligne, comme ceux stockés sur une clé USB, peuvent être précieux lorsque des informations sont prises ou nettoyées de votre outil.
Mesures post-infection
Bien que les conseils ci-dessus puissent vous protéger contre le ransomware LockBit, il existe toujours une possibilité d’infection. Donc, si vous découvrez que votre système informatique a été infecté par LockBit 3.0, il est crucial de ne pas agir de façon folle. Il y a des étapes que vous pouvez exiger pour supprimer le ransomware de votre outil, que vous devez suivre de près ainsi que très soigneusement.
Vous devez également alerter les autorités si vous avez été victime d’un ransomware. Cela aide les célébrations pertinentes à beaucoup mieux comprendre et aussi traiter une pression fournie de ransomware.
Les attaques de LockBit 3.0 pourraient se poursuivre
Personne ne sait combien de fois encore le ransomware LockBit 3.0 sera utilisé pour mettre en danger ainsi que pour exploiter les victimes. C’est pourquoi il est important de protéger vos gadgets ainsi que vos comptes par tous les moyens possibles, afin de s’assurer que vos données délicates restent sans risque.