La grande majorité des serveurs de LockBit ont disparu

ABONNEZ-VOUS GRATUITEMENT À NOS ACTUALITÉS
Si vous aimez nos actus inédites, abonnez-vous à ZATAZ via Google News

L’agence américaine CISA décrit le fonctionnement du rançongiciel LockBit et explique pourquoi les Russes ne seraient jamais victimes de hackers, tandis que dans le même temps, la grande majorité des serveurs du groupe de pirates LockBit ont disparu.

Les agences gouvernementales américaines, y compris le FBI, la Cybersecurity and Infrastructure Security Agency (CISA) et le centre d’échange et d’analyse d’informations (MS-ISAC), ont publié un bulletin conjoint sur la cybersécurité qui détaille les indicateurs de compromission (IoC) et les tactiques, techniques et procédures (TTP) du rançongiciel LockBit 3.0.

Cette information est importante pour la lutte contre les attaques de ransomwares et pourrait aider à limiter les dégâts causés par LockBit. En effet, le FBI et la CISA publient régulièrement ce type de document lorsqu’ils ont des informations pertinentes à partager avec le public. Ils le font aussi, quand la fin d’un groupe est proche.

Depuis sa création, le 3 septembre 2019, les pirates derrière LockBit ont publié deux versions de leur rançongiciel, LockBit 2.0 (également connu sous le nom de LockBit Red) en 2021, et LockBit 3.0 (également connu sous le nom de LockBit Black) en 2022. Le rançongiciel est conçu pour ne pas infecter les ordinateurs configurés avec les paramètres de langue suivants : roumain (Moldavie), arabe (Syrie) et tatar (Russie). Les pirates utilisent plusieurs méthodes pour accéder initialement aux réseaux des victimes, notamment via le protocole RDP, les campagnes de phishing, l’abus de comptes valides et l’utilisation d’applications publiques comme outil de piratage.

LockBit, mode d’emploi

Une fois que le logiciel malveillant a pénétré dans le système, il prend des mesures pour établir la persistance, élever les privilèges, se déplacer latéralement et supprimer les fichiers journaux, la corbeille et les clichés instantanés avant de lancer le chiffrement des données.

En outre, les affiliés de LockBit ont utilisé divers programmes et outils gratuits et open source pour mener à bien leurs activités, notamment la reconnaissance du réseau, l’accès à distance et le tunneling, la réinitialisation des informations d’identification et l’exfiltration de fichiers.

Une caractéristique distincte de ces attaques, explique la CISA, est l’utilisation d’un outil d’exfiltration spécifique appelé StealBit, que le groupe LockBit met à disposition de ses affiliés à des fins d’extorsion double. Il convient également de noter que LockBit propose plusieurs autres outils tels que File Share et Private Note LockBit.

Il est important de noter que, selon le ministère américain de la Justice, en novembre 2022, le rançongiciel LockBit avait infecté au moins 1 000 victimes dans le monde, rapportant ainsi plus de 100 millions de dollars de bénéfices.

Cependant, les chiffres de ZATAZ dépassent largement ce nombre de victimes de ransomwares. Leurs données concernent les entreprises nommées par le groupe de pirates. De plus, les informations de ZATAZ prennent également en compte les entreprises qui ont été affichées pendant quelques minutes ou heures, puis qui ont été effacées par les pirates après le paiement de la rançon demandée.

En réponse au CISA, LockBit a déclaré : « S’ils avaient corrigé la liste des infrastructures critiques pour qu’elle soit saine et adéquate, nous n’aurions peut-être pas touché ces entreprises« , selon ce que ZATAZ a pu lire.

LockBit, sous attaques, mais toujours vivant !

ZATAZ suit ce groupe depuis sa création et prévoit que le mois de mars 2023 sera une période très active pour les malveillants, ainsi que pour le petit monde très présent des ransomwares.

Malgré de nombreuses attaques de LockBit, le groupe de ransomwares a subi un revers fin septembre 2022 lorsqu’un développeur mécontent de LockBit a publié le code de construction de LockBit 3.0. Cela a suscité des inquiétudes quant au risque que d’autres cybercriminels puissent profiter de ce code et créer leurs propres variantes de ce logiciel malveillant.

En novembre 2022, la Gendarmerie Nationale Française a participé, avec la Gendarmerie Canadienne, à l’arrestation d’un membre important du groupe. Mikhail Vasiliev, âgé de 33 ans et résidant à Bradford, en Ontario, au Canada, a été accusé devant le tribunal fédéral de Newark d’avoir comploté avec d’autres pirates pour « endommager intentionnellement des ordinateurs protégés et de transmettre des demandes de rançon« .

Ce 28 mars, la majorité des serveurs exploités par LockBit [42] ont disparu du darkweb, à l’exception de trois espaces (stockage, Private Note et File Share), qui sont toujours actifs ou affichent un code d’erreur 502 Bad Gateway. Les raisons de cette disparition sont inconnues et peuvent être multiples, telles que des arrestations, des modifications de l’infrastructure, etc.

Le code d’erreur « 502 Bad Gateway » est un code HTTP qui indique qu’un serveur proxy ou une passerelle n’a pas pu recevoir de réponse valide de la part d’un autre serveur. Cela peut être dû à diverses raisons, telles qu’un serveur indisponible, des problèmes de connectivité, une surcharge du trafic, etc. Ce message est souvent affiché sur un navigateur Web lorsqu’on tente d’accéder à un site Web qui rencontre des problèmes techniques.

Les Tatars sont un peuple turcophone originaire de la région de la Volga en Russie. Ils sont également présents dans d’autres régions du monde, notamment en Ukraine, en Biélorussie, en Turquie, en Chine et en Mongolie. Les Tatars ont une histoire et une culture riches, ainsi qu’une langue distincte, le tatar.

Mise à jour 30/03/2023 : « J’ai simplement fait une mise à jour épique, c’est tout. Pour cela, j’ai dû désactiver toute l’infrastructure pendant plusieurs heures. » a pu lire ZATAZ. C’est l’explication donnée par le responsable de LockBit, dans un espace Russophone. [Je vous ai traduit en gras, ci-dessous, son commentaire]

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

  1. flo Reply

    C’est bizarre qu’il est configuré pour ne pas infecté les systèmes configurés en tatar (ethnie turquo-mongol) présente aussi en Crimée ukrainienne occupée par la Russie et pas en russe. Et pourquoi aussi le romain (Moldalvie), c’est lié à la transnistrie région de Moldavi occupé par la russie ?

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.