Lockbit 2.0 Ransomware

Description de Lockbit 2.0 Ransomware

Le LockBit Ransomware a fait son apparition dans le paysage des logiciels malveillants en septembre 2019, lorsqu'il a été proposé dans un schéma RaaS (Ransomware-as-a-Service). Les opérateurs de la menace recherchaient des affiliés qui mèneraient les véritables attaques de ransomware, puis partageraient les bénéfices - les affiliés empocheraient environ 70 à 80 % des fonds tandis que le reste serait remis aux créateurs de LockBit.

L'opération est restée assez active depuis son lancement, les représentants du groupe à l'origine de la menace restant présents sur les forums de hackers. Lorsque plusieurs forums de premier plan ont décidé de se distancer des programmes de ransomware et ont interdit les discussions sur ces sujets, LockBit est passé à un site de fuite de données nouvellement créé. Là, les cybercriminels ont dévoilé la prochaine version de leur création menaçante - LockBit 2.0, qui serait également proposée en RaaS. La version 2.0 offre des capacités nuisibles massivement étendues, les pirates informatiques intégrant plusieurs fonctionnalités qui ont déjà émergé dans d'autres familles de ransomwares. En plus de cela, la menace est équipée d'une technique inédite qui lui permet d'abuser des stratégies de groupe pour chiffrer automatiquement les domaines Windows.

LockBit 2.0 présente de nouvelles techniques

LockBit 2.0 est toujours un ransomware et, en tant que tel, son objectif est d'infecter autant d'appareils connectés que possible au réseau violé, avant de chiffrer les données qui y sont stockées et d'exiger une rançon. Cependant, au lieu de s'appuyer sur des outils open source tiers, ce qui est la pratique standard dans ces opérations, LockBit 2.0 a automatisé sa distribution et ses mesures anti-sécurité. Lors de son exécution, la menace créera plusieurs nouvelles stratégies de groupe sur le contrôleur de domaine, qui seront ensuite transmises à toutes les machines connectées au réseau compromis. Grâce à ces politiques, le malware est capable de désactiver la fonction de protection réelle de Microsoft Defender, ainsi que les alertes, les actions par défaut et les échantillons généralement envoyés à Microsoft lors de la détection d'un intrus indésirable. Il établit également une tâche planifiée pour lancer son exécutable.

L'étape suivante de l'opération consiste à copier le fichier exécutable de LockBit 2.0 sur le bureau de chaque périphérique détecté. La tâche planifiée précédemment créée l'initiera en implémentant un contournement UAC (User Account Control). Cette méthode permet à LockBit 2.0 de se déplacer furtivement dans sa programmation, sans déclencher d'alertes susceptibles d'attirer l'attention de l'utilisateur.

Lorsque le processus de cryptage est terminé, LockBit 2.0 active une fonctionnalité qui a été précédemment observée dans le cadre des menaces Egregor Ransomware. Il s'agit de forcer toutes les imprimantes connectées au réseau à cracher sans cesse la demande de rançon de la menace.