Les acteurs de LockBit Ransomware ont gagné plus de 90 millions de dollars depuis 2020

LockBit, une opération notoire de rançongiciel en tant que service (RaaS), a réussi à extorquer la somme stupéfiante de 91 millions de dollars à diverses organisations américaines par le biais de centaines d'attaques depuis 2020. Un bulletin conjoint publié par plusieurs autorités internationales, dont le US Cybersecurity and Infrastructure Security Agency (CISA) et le FBI, font la lumière sur l'étendue des dégâts causés par LockBit.

Le bulletin révèle que LockBit fonctionne comme un RaaS, incitant les affiliés à mener des attaques de ransomware en utilisant leur plate-forme. Cela a conduit à un réseau d'acteurs de la menace disparates exécutant divers types d'attaques. LockBit, qui a émergé fin 2019, a conservé sa nature perturbatrice et prolifique, les statistiques de Malwarebytes indiquant qu'il a ciblé jusqu'à 76 victimes en mai 2023 seulement. Le gang de ransomwares, soupçonné d'avoir des liens avec la Russie, a revendiqué la responsabilité de plus de 1 653 attaques de ransomwares à ce jour.

LockBit n'a épargné aucun secteur d'infrastructure critique, ciblant des secteurs tels que la finance, l'agriculture, l'éducation, l'énergie, le gouvernement, la santé, la fabrication et les transports. Il a subi d'importantes mises à niveau, notamment LockBit Red en juin 2021, LockBit Black en mars 2022 et LockBit Green en janvier 2023, ce dernier étant basé sur une fuite de code source du gang Conti démantelé. Le ransomware a également étendu sa portée pour cibler les systèmes Linux, VMware ESXi et Apple macOS, ce qui en fait une menace en constante évolution.

Le modèle commercial de LockBit consiste à louer ses outils de ransomware à des affiliés qui exécutent les attaques et les opérations d'extorsion. Exceptionnellement, le groupe permet aux affiliés de recevoir des paiements de rançon directement avant de partager une partie avec les développeurs principaux.

LockBit exploite diverses vulnérabilités

Les attaques orchestrées par LockBit ont exploité des vulnérabilités dans divers systèmes, y compris des failles récemment révélées dans les serveurs Fortra GoAnywhere Managed File Transfer (MFT) et PaperCut MF/NG. De plus, des vulnérabilités connues dans Apache Log4j2, F5 BIG-IP et BIG-IQ, et les appareils Fortinet ont été exploitées pour l'accès initial.

Les affiliés de LockBit ont utilisé plus de trois douzaines d'outils gratuits et open source pour effectuer une reconnaissance du réseau, établir un accès à distance, effectuer un vidage d'informations d'identification et exfiltrer des fichiers. Notamment, des logiciels d'équipe rouge légitimes tels que Metasploit et Cobalt Strike ont également été abusés lors de ces intrusions.

Le succès de LockBit peut être attribué à son innovation constante, en particulier son panneau d'administration convivial qui simplifie le déploiement des rançongiciels pour les personnes ayant une expertise technique limitée. Le groupe révise en permanence ses tactiques, techniques et procédures (TTP) pour rester en tête.

En réponse à la menace, la CISA a publié une directive opérationnelle contraignante demandant aux agences fédérales de sécuriser les périphériques réseau exposés à l'Internet public et de minimiser la surface d'attaque. Cette directive vise à atténuer le risque que des acteurs de la menace exploitent des périphériques réseau pour obtenir un accès illimité aux réseaux organisationnels.

En outre, un avis récent a mis en évidence les risques potentiels associés aux implémentations du contrôleur de gestion de la carte de base (BMC), qui pourraient fournir aux acteurs de la menace un pied et des capacités d'exécution avant le démarrage.