LockBit 2.0 Ransomware est actif et recherche des affiliés
De nos jours, les opérations des gangs de ransomware sont souvent de courte durée, surtout s'ils finissent par « rechercher l'or » - tout comme le gang REvil Ransomware a fermé ses portes après le piratage de Colonial Pipeline . Cependant, certaines familles de ransomwares existent depuis plus d'un an et recherchent toujours activement des affiliés. C'est le cas du LockBit Ransomware, dont la version 2.0 est sortie tout récemment. Le LockBit 2.0 Ransomware dispose d'un algorithme de cryptage de fichiers amélioré, et ses créateurs recherchent des affiliés via le site de fuite de données de LockBit. Les développeurs de logiciels malveillants embauchent d'autres acteurs de la menace pour compromettre le réseau et les systèmes, mais ils prélèvent des frais de 20 à 30 % du paiement de la rançon.
Ces campagnes sont extrêmement rentables pour les auteurs de logiciels malveillants, car ils fournissent simplement un implant et un panneau de contrôle – c'est à leurs affiliés de faire le reste. C'est exactement ce qui rend les menaces telles que LockBit 2.0 Ransomware si dangereuses – leur portée est énorme et elles peuvent se propager en ligne via toutes sortes de méthodes et d'astuces.
Une grande partie des casiers de fichiers se concentre sur le cryptage des fichiers sur la machine infectée et la suppression du message de rançon. Cependant, les acteurs de haut niveau comme celui qui utilise le LockBit 2.0 Ransomware ne seront pas satisfaits de cela. C'est pourquoi ce cheval de Troie de cryptage de fichiers est préchargé avec des scripts spéciaux, qui visent à manipuler la configuration des stratégies de groupe Windows. En falsifiant ces paramètres, le ransomware tente d'assouplir les mesures de sécurité imposées par Microsoft, et permettant d'infecter d'autres appareils sur le même réseau. Bien sûr, le processus complet est beaucoup plus compliqué, mais le résultat final est toujours le même : accéder aux fichiers sur plusieurs appareils sur le réseau infecté.
Tout comme les autres ransomwares modernes, LockBit 2.0 Ransomware vole également des fichiers avant de crypter leur contenu. De cette façon, les criminels ont deux façons d'extorquer la victime : ils menacent de supprimer leur clé de déchiffrement et ils menacent également de publier les fichiers en ligne.
Une caractéristique particulière du LockBit 2.0 Ransomware est qu'il essaie de fournir la demande de rançon d'une manière intéressante. En plus de laisser tomber le document habituel, il essaie également d'accéder à toutes les imprimantes disponibles sur le réseau, puis d'imprimer le message de rançon sur papier. Auparavant, la même tactique était utilisée par Egregor Ransomware.
Le LockBit 2.0 Ransomware est, sans aucun doute, bien vivant. Bien que ses opérateurs soient restés silencieux pendant de nombreux mois, leur projet est certainement loin d'être mort. Les particuliers et les entreprises peuvent protéger leurs réseaux en appliquant des politiques de sécurité strictes, en utilisant un logiciel antivirus réputé et en veillant à ce que les opérateurs informatiques sachent comment se tenir à l'écart des sites suspects.