Devis de remise multi-licences
Données concernant les menaces Ransomware Ransomware LockBit 5.0

Ransomware LockBit 5.0

Par Mezo en Ransomware
Se traduisent par :

Les rançongiciels demeurent l'une des menaces numériques les plus graves auxquelles sont confrontés les particuliers et les entreprises. Leurs variantes modernes sont conçues non seulement pour chiffrer les fichiers, mais aussi pour exfiltrer des informations sensibles, poussant les victimes à payer d'importantes sommes d'argent. Rester vigilant, maintenir une cybersécurité rigoureuse et mettre en œuvre des défenses multicouches sont essentiels dans un contexte de menaces en constante évolution. L'un des développements récents les plus dangereux dans ce domaine est le rançongiciel LockBit 5.0.

LockBit 5.0 : une variante perfectionnée et puissante

LockBit 5.0 est la dernière évolution de la famille de rançongiciels LockBit. Il s'appuie directement sur le code source de LockBit 4.0, tout en introduisant des améliorations qui le rendent plus difficile à détecter et à atténuer. Une fois exécuté, il chiffre les fichiers sur l'ensemble du système et ajoute une extension unique et aléatoire de 16 caractères à chaque nom de fichier. Par exemple, un fichier nommé « 1.png » devient « 1.png.db9785905a3cad2c ». Parallèlement au chiffrement, il dépose une demande de rançon intitulée « ReadMeForDecrypt.txt » dans les répertoires concernés.

La demande de rançon informe les victimes que leurs fichiers et données ont été compromis. Elle exige un paiement en cryptomonnaie, généralement via Tor, et prévient que les informations volées seront divulguées si le paiement n'est pas effectué. Les victimes sont priées de ne pas contacter les autorités, les attaquants cherchant à instiller la peur et un sentiment d'urgence.

Capacités et tactiques sophistiquées

LockBit 5.0 intègre des améliorations techniques qui démontrent la maturité des développeurs de ransomware :

Personnalisation pour les affiliés : la version Windows du ransomware offre une interface plus claire et plus flexible, permettant aux affiliés de sélectionner des méthodes et des cibles de chiffrement.

Techniques anti-analyse : Elle désactive certaines fonctionnalités de traçage de Windows pour entraver la recherche de logiciels malveillants.

Ciblage multiplateforme : au-delà de Windows, LockBit 5.0 inclut des variantes dangereuses de Linux et de VMware ESXi capables de crypter des environnements virtualisés entiers.

Évitement sélectif : il évite les systèmes situés en Russie ou dans les régions associées en effectuant des contrôles de géolocalisation.

Bien qu'il soit présenté comme une version majeure, LockBit 5.0 réutilise des parties importantes du code de LockBit 4.0, telles que les algorithmes de hachage et la résolution dynamique de l'API, ce qui en fait une mise à niveau incrémentielle mais dangereuse.

Vecteurs de distribution : comment LockBit 5.0 se propage

Les opérateurs de LockBit utilisent diverses méthodes d'infection pour maximiser leur portée. Le rançongiciel se propage généralement via :

  • Pièces jointes ou liens malveillants se faisant passer pour des documents légitimes.
  • Sites Web frauduleux ou compromis, y compris les faux portails d’assistance technique.
  • Exploitation de vulnérabilités logicielles non corrigées.
  • Campagnes de malvertising, logiciels piratés et générateurs de clés illégaux.
  • Réseaux peer-to-peer, téléchargeurs tiers et magasins d'applications non vérifiés.

Cette approche à plusieurs volets permet aux attaquants de cibler à la fois les individus et les systèmes d’entreprise, augmentant ainsi la probabilité de dommages généralisés.

Renforcez votre défense contre les ransomwares

Se défendre contre des rançongiciels sophistiqués comme LockBit 5.0 nécessite des mesures de sécurité proactives et multicouches. Les utilisateurs et les organisations doivent adopter une combinaison de protections techniques et de pratiques de navigation sécurisées. Parmi les stratégies les plus efficaces, on peut citer :

Maintenez les systèmes à jour : appliquez rapidement les correctifs du système d’exploitation et des logiciels pour fermer les vulnérabilités exploitables.

Utilisez une protection renforcée des terminaux : déployez des solutions antivirus et de détection des terminaux réputées capables d'identifier les menaces avancées.

Utilisez votre courrier électronique et le Web en toute sécurité : méfiez-vous des pièces jointes, des liens et des téléchargements non sollicités provenant de sources non vérifiées.

Maintenez des sauvegardes hors ligne : stockez les fichiers critiques dans des emplacements sécurisés et hors ligne pour garantir la récupération sans payer de rançon.

Appliquer l’accès au moindre privilège : limitez les autorisations des utilisateurs et segmentez les réseaux pour contenir les épidémies potentielles de ransomware.

Activer l’authentification multifacteur (MFA) : protégez les comptes contre toute compromission par le vol d’informations d’identification.

Sensibiliser régulièrement les utilisateurs : Il est essentiel de former le personnel et les individus à reconnaître les tentatives d’hameçonnage et d’ingénierie sociale.

Réflexions finales

LockBit 5.0 illustre la manière dont les groupes de rançongiciels perfectionnent continuellement leurs outils pour un impact maximal. Sa capacité à chiffrer des environnements entiers, à échapper à l'analyse et à exercer une pression psychologique sur les victimes en fait une menace particulièrement destructrice. La défense la plus fiable réside dans la prévention, combinant technologies de pointe, stratégies de sauvegarde résilientes et sensibilisation des utilisateurs. Grâce à ces mesures de sécurité multicouches, les utilisateurs et les organisations réduisent considérablement leurs risques d'être victimes d'attaques de rançongiciels dévastatrices.

System Messages

The following system messages may be associated with Ransomware LockBit 5.0:

~~~ You have been attacked by LockBit 5.0 - the fastest, most stable and immortal ransomware since 2019 ~~~~

>>>>> You must pay us.

Tor Browser link where the stolen infortmation will be published:
-
>>>>> What is the guarantee that we won't scam you?
We are the oldest extortion gang on the planet and nothing is more important to us than our reputation. We are not a politically motivated group and want nothing but financial rewards for our work. If we defraud even one client, other clients will not pay us. In 5 years, not a single client has been left dissatisfied after making a deal with us. If you pay the ransom, we will fulfill all the terms we agreed upon during the negotiation process. Treat this situation simply as a paid training session for your system administrators, because it was the misconfiguration of your corporate network that allowed us to attack you. Our pentesting services should be paid for the same way you pay your system administrators' salaries. You can get more information about us on wikipedia hxxps://en.wikipedia.org/wiki/LockBit

>>>>> Warning! Do not delete or modify encrypted files, it will lead to irreversible problems with decryption of files!

>>>>> Don't go to the police or the FBI for help and don't tell anyone that we attacked you. They will forbid you from paying the ransom and will not help you in any way, you will be left with encrypted files and your business will die.

>>>>> When buying bitcoin, do not tell anyone the true purpose of the purchase. Some brokers, especially in the US, do not allow you to buy bitcoin to pay ransom. Communicate any other reason for the purchase, such as: personal investment in cryptocurrency, bitcoin as a gift, paying to buy assets for your business using bitcoin, cryptocurrency payment for consulting services, cryptocurrency payment for any other services, cryptocurrency donations, cryptocurrency donations for Donald Trump to win the election, buying bitcoin to participate in ICO and buy other cryptocurrencies, buying cryptocurrencies to leave an inheritance for your children, or any other purpose for buying cryptocurrency. Also you can use adequate cryptocurrency brokers who do not ask questions for what you buy cryptocurrency.

>>>>> After buying cryptocurrency from a broker, store the cryptocurrency on a cold wallet, such as https://electrum.org/ or any other cold cryptocurrency wallet, more details on https://bitcoin.org By paying the ransom from your personal cold cryptocurrency wallet, you will avoid any problems from regulators, police and brokers.

>>>>> Don't be afraid of any legal consequences, you were very scared, that's why you followed all our instructions, it's not your fault if you are very scared. Not a single company that paid us has had issues. Any excuses are just for insurance company to not pay on their obligation.

>>>>> You need to contact us via TOR sites with your personal ID

Download and install Tor Browser https://www.torproject.org/
Write to the chat room and wait for an answer, we'll guarantee a response from us. If you need a unique ID for correspondence with us that no one will know about, ask it in the chat, we will generate a secret chat for you and give you ID via private one-time memos service, no one can find out this ID but you. Sometimes you will have to wait some time for our reply, this is because we have a lot of work and we attack hundreds of companies around the world.

Tor Browser link for chat with us:
-
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
>>>>> Your personal identifier to communicate with us ID: - <<<<<
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

>>>>> Advertising:
Want a lamborghini, a ferrari and lots of titty girls? Sign up and start your pentester billionaire journey in 5 minutes with us.
-
After registration, you will receive the most flawless and reliable tools for encrypting almost all operating systems on the planet and a platform for negotiating with attacked companies.

Version: ChuongDong v1.01 | x64

Technical Analysis of LockBit 5.0

The LockBit 5.0 Windows version was found to have a better user interface with clean formatting for affiliates compared to previous versions.

It describes various options and settings for executing the ransomware, including basic options like specifying directories to encrypt or bypass, operation modes such as invisible mode and verbose mode, notes settings, encryption settings, filtering options and examples of usage.

"The detailed commands and parameters illustrate the flexibility and customization available to the attacker," the researchers commented.

Upon execution, the ransomware generates its signature ransom note and directs victims to a dedicated leak site. The infrastructure maintains LockBit's established victim interaction model, featuring a streamlined "Chat with Support" section for ransom negotiations.

Notably, the variant adds randomized 16-character file extensions to files following encryption, further complicating recovery. LockBit 5.0 also omits traditional markers at file endings, making analysis harder.

The malware deploys other anti-forensic techniques. This includes patching the EtwEventWrite API by overwriting it with a 0xC3 (return) instruction, disabling Windows Event Tracing capabilities.

As with previous LockBit versions, the new iteration uses geolocation checks, terminating execution when detecting Russian language settings or Russian geolocation.

The features observed in the Windows version were similar to those in the Linux and ESXi variants analyzed.

The ESXi variant specifically targets VMware virtualization infrastructure, which the researchers said represents a "critical escalation" in LockBit's capabilities.

This is because ESXi servers typically host multiple virtual machines, allowing attackers to encrypt entire virtualized environments with a single payload execution.

Tendance

Le plus regardé

Chargement...