learn.hack.repeat

Étiquette : LockBit

LockBit : le plus grand groupe de ransomwares démantelé lors d’une opération multinationale

Dans le cadre d’une opération internationale conjointe, les forces de l’ordre ont saisi plusieurs domaines du darknet exploités par le groupe de ransomware LockBit, connu pour être l’un des plus prolifiques. L’opération, baptisée « Opération Cronos », a impliqué les autorités de 11 pays et a été menée en exploitant une vulnérabilité critique de PHP.

Le site web lié au groupe de ransomware LockBit est sous le contrôle des forces de l’ordre de 11 pays dans le cadre d’une opération internationale qui a permis de démanteler une partie de son infrastructure. La National Crime Agency (NCA) du Royaume-Uni a dirigé l’opération « Cronos » avec l’aide d’Europol et d’Eurojust. Bien que l’ampleur de l’opération soit inconnue, la visite du site .onion du groupe affiche une bannière de saisie avec le message suivant : « Le site est maintenant sous le contrôle des forces de l’ordre ».

Les autorités de 11 pays (Allemagne, Australie, Canada, États-Unis, Finlande, France, Japon, Pays-Bas, Royaume-Uni, Suède et Suisse, ainsi qu’Europol) ont participé à l’exercice conjoint.

Dans un message posté sur X (Twitter), le groupe de recherche sur les logiciels malveillants VX-Underground a déclaré que les sites ont été mis hors service par l’exploitation d’une vulnérabilité de sécurité critique affectant PHP (CVE-2023-3824, CVSS score : 9.8) qui pourrait entraîner l’exécution de code à distance.

Lockbit : groupe de ransomware

LockBit, apparu le 3 septembre 2019, a été l’un des groupes de de ransomwares les plus actifs et les plus notoires de l’histoire, faisant plus de 2000 victimes. On estime qu’il a extorqué au moins 91 millions de dollars à des organisations américaines uniquement. Selon les données communiquées par la société de cybersécurité ReliaQuest, LockBit a répertorié 275 victimes sur son portail de violation de données au cours du quatrième trimestre 2023, dépassant de loin tous ses concurrents. Il n’y a pas encore eu d’arrestations ou de sanctions. Toutefois, ce développement porte un coup définitif aux opérations à court terme de LockBit et intervient deux mois après que le gouvernement américain a démantelé l’opération de ransomware BlackCat.

Grâce à notre étroite collaboration, nous avons piraté les pirates, pris le contrôle de leur infrastructure, saisi leur code source et obtenu les clés qui aideront les victimes à décrypter leurs systèmes.

Graeme Biggar, directeur général de la NCA

À partir d’aujourd’hui, LockBit est bloqué. Nous avons porté atteinte aux capacités et, surtout, à la crédibilité d’un groupe qui s’appuyait sur le secret et l’anonymat. LockBit peut essayer de reconstruire son entreprise criminelle. Cependant, nous savons qui ils sont et comment ils opèrent.

Graeme Biggar, directeur général de la NCA

Ils ont laissé une note sur le panneau d’affiliation, indiquant qu’ils avaient « le code source, des détails sur les victimes que vous avez ciblées, la somme d’argent extorquée, les données volées, les chats et bien plus encore », ajoutant que cela avait été rendu possible grâce à « l’infrastructure défectueuse » de LockBit.

La NCA s’est engagée à contacter les victimes britanniques afin qu’elles puissent utiliser les clés pour lesquelles elles devraient être ajoutées à la page No More Ransom surveillée par Europol. Les victimes d’attaques pourront utiliser cette ressource pour découvrir les dernières clés de décryptage de LockBit. Les victimes de ce logiciel malveillant sont invitées à contacter le FBI à l’adresse https://lockbitvictims.ic3.gov/ afin de permettre aux autorités de déterminer si les systèmes affectés peuvent être décryptés avec succès.

Plus d’information:
https://www.nationalcrimeagency.gov.uk/news/nca-leads-international-investigation-targeting-worlds-most-harmful-ransomware-group
https://en.wikipedia.org/wiki/Lockbit
https://twitter.com/vxunderground/status/1759732862335504773
https://nvd.nist.gov/vuln/detail/CVE-2023-3824

La 5ème vague

Est-ce que quelqu’un pense encore que les ransomwares ne s’arrêtent que lorsque les données sont chiffrées et qu’un paiement est exigé ? Il existe plusieurs générations de groupes d’extorsion qui se concentrent exclusivement sur les ransomwares d’entreprise, et tant le succès que les opportunités de marché les poussent à innover dans leurs méthodes. En réalité, nous avons affaire à de multiples tentatives d’extorsion qui couvrent tous les flancs pour assurer le succès des attaquants et ne laisser aucune option à la victime.

La première vague d’extorsion consiste évidemment à s’introduire dans l’entreprise et à chiffrer les informations importantes. Si la rançon n’est pas payée, les données restent chiffrées et l’entreprise ne peut pas poursuivre son activité. Il y a quelques années, une nouveauté a été introduite : non seulement les attaquants chiffrent les informations, mais ils les volent également, et plus le paiement est long, plus ils rendent publiques les informations de l’entreprise.

La troisième vague, qui s’ajoute aux précédentes, consiste à faire pression en exécutant des attaques par déni de service sur les pages publiques de l’entreprise attaquée. Ils les font disparaître d’internet. La quatrième qui a été observée est le harcèlement. Les attaquants, parfaitement organisés, contactent les fournisseurs, les partenaires, les clients et même les médias pour les avertir de l’attaque et ruiner la réputation de la victime.

Mais il y en a aussi une cinquième. Depuis quelque temps, LockBit invite les victimes à fournir des données tierces pour les aider à pénétrer dans leur réseau (identifiants VPN, RDP, etc.). Cela pourrait être utilisé pour « diminuer » le paiement de la rançon. Condamner un tiers pour alléger sa propre peine. Pervers mais apparemment efficace.

Ils offrent donc, par le biais de la note de rançon du Ransomware, la possibilité de gagner de l’argent si vous leur fournissez des données d’accès à des sociétés tierces. Il s’agit de la note de rançon typique dans laquelle on peut lire un message comme ci-dessous :

Mettant en évidence du texte suivant :

“Would you like to earn millions of dollars?

Our company acquire access to networks of various companies, as well as insider information that can help you steal the most valuable data of any company.

You can provide us accounting data for the access to any company, for example, login and password to RDP, VPN, corporate email, etc. »

Si l’on y regarde de plus près, il s’agit d’une véritable perversion, étant donné qu’en plus du problème posé à l’entreprise touchée, qui doit faire face à la double extorsion du chiffrement et de l’exfiltration des données, l’attaquant tente de persuader l’entreprise attaquée ou même ses employés de fournir des données provenant d’entreprises tierces, de clients ou de fournisseurs de l’entreprise touchée. En d’autres termes, ils essaient de simplifier la manière dont ils entrent dans nombre de ces entreprises. Il existe déjà un marché sur lequel les attaquants peuvent acheter des informations d’identification à d’autres groupes criminels spécialisés dans la fourniture d’un accès initial aux entreprises, appelés Access Brokers. Mais ce modèle permettra à toute personne travaillant dans une entreprise et disposant d’identifiants d’accès à ses systèmes, ou à des systèmes tiers, de devenir Access Broker et de voir ainsi un moyen facile et discret d’obtenir un revenu supplémentaire.

En fait, le message pourrait aussi être lu comme une invitation à échanger l’extorsion contre des informations précieuses permettant à l’attaquant d’effectuer une transaction sur un compte plus important. Par exemple, si je suis le fournisseur d’une grande entreprise et que je suis compromis, j’échange la rançon en fournissant des informations d’identification qui permettent d’accéder à l’entreprise, ou en fournissant une porte dérobée qui permet à l’attaquant d’accéder à l’entreprise.

Ainsi, désormais, dans l’analyse des risques du modèle de ransomware, une nouvelle variable, auparavant mineure, prend une ampleur considérable : le risque qu’un potentiel insider fournisse aux attaquants le jeu de clés du château et leur facilite grandement la tâche pour mener à bien l’opération de compromission de l’infrastructure, ou le risque qu’un collaborateur extorqué donne accès aux systèmes.

Il est plus que probable que le modèle économique des ransomwares continuera d’évoluer et que nous verrons apparaître de nouvelles techniques et stratégies. Il faut donc continuer la sensibilisation au problème majeur que posent ces attaques, en renforçant la sécurité des entreprises et en collaborant avec les différents acteurs du secteur pour tenter de combattre ce fléau.

Plus d’information:
https://www.coveware.com/blog/2022/2/2/law-enforcement-pressure-forces-ransomware-groups-to-refine-tactics-in-q4-2021

Fièrement propulsé par WordPress & Thème par Anders Norén