Accueil Nos publications Blog LockBit 3.0 : tour d’horizon
Cybersécurité
Niveau
11/04/2023 6 min

LockBit 3.0 : tour d’horizon

  1. Caractéristiques techniques
  2. Cybercriminalité en réseau
  3. Comment se protéger de Lockbit 3.0 ?
  4. Et quand le mal est fait ?

L’attaque du Centre Hospitalier de Versailles, l’hôpital André-Mignot, est venue clore une année 2022 particulièrement marquée par une offensive du groupe LockBit 3.0 et de ses affiliés envers les systèmes d’information français et étrangers. Responsable de 70% des cyberattaques ayant visé des organisations et entreprises françaises en 2022, dont Thalès, le groupe La Poste, les Centres Hospitaliers de Corbeil-Essonnes et de Versailles ou, à l’étranger, l’équipementier automobile allemand Continental, LockBit 3.0 constitue l’une des principales menaces actuelles pour la sécurité numérique et la protection des données personnelles que nous nous proposons aujourd’hui de restituer.


Ce rançongiciel (logiciel malveillant permettant de chiffrer les données d’un système informatique) vise moins les particuliers que les organisations et entreprises, ces derniers étant plus susceptibles de s’acquitter d’une rançon importante en échange de la clef de déchiffrement de leurs systèmes. Russophone, le groupe LockBit 3.0 a pu expliquer se tenir à l’écart des systèmes localisés au sein des pays de l’espace de l’ex-Union soviétique, membres de la CEI (Communauté des États Indépendants), la plupart de ses membres en étant originaires, nous y reviendrons.

Caractéristiques techniques

La première caractéristique du rançongiciel est donc son caractère ciblé, à la différence d’un spam. Par exemple : une organisation, une entreprise ou une institution publique est identifiée et infectée avec l’appui d’un attaquant. Une fois injecté, la seconde caractéristique de Lockbit 3.0 réside dans sa capacité à se propager en toute autonomie au sein du système infecté. Concrètement, une attaque par rançongiciel LockBit 3.0 se déroule en trois phases : 

  • Exploitation d’une ou de plusieurs vulnérabilités du réseau ciblé.
    Cette exploitation peut s’opérer par des pratiques de social engineering, tel le phishing, ou encore par une attaque par force brute envers des serveurs et des systèmes réseaux vulnérables. Une fois injecté, le processus d’analyse automatisé du rançongiciel LockBit peut conduire les analyses en vue de l’attaque en quelques jours.
  • Infiltration approfondie du réseau infecté.
    Fonctionnant désormais en autonomie, LockBit va entreprendre des actions visant à préparer l’attaque. Programmé pour utiliser des outils comme la suite logicielle Windows Powershell ou le protocole SMB pour se propager au sein du système, il utilise des outils dits de « post-exploitation » et/ou procède à un mouvement latéral (utilisation de comptes non sensibles pour obtenir l’accès à des comptes sensibles) afin d’obtenir des privilèges élevés. Pour finaliser cette opération de pénétration au sein du système, le rançongiciel appose des fichiers de chiffrement (sous format .PNG) au sein de l’intégralité des systèmes auxquels il a pu accéder. Enfin, le rançongiciel va procéder à une désactivation des solutions de sécurité et de récupération du système, par exemple en rendant impossible toute récupération sans assistance, ou en ralentissant le système à un point tel que le paiement de la rançon ne devienne la seule option de récupération envisageable.
  • Déploiement de la charge de chiffrement.
    La phase d’attaque consiste en l’exécution des fichiers de chiffrements apposés au sein des systèmes lors de la phase d’infiltration. Pouvant être effectué en quelques heures, le déploiement de la charge de chiffrement se solde par l’apposition d’un fichier texte au sein de chaque dossier ou système corrompu, indiquant les raisons éventuelles de l’attaque et les instructions à suivre pour restaurer le système chiffré, soit, la plupart du temps, en payant une rançon.

Si, en dépit du chiffrement de son système informatique, la victime refuse de s’acquitter du montant exigé par l’attaquant, un second levier de menace est activé : la revente, voire la simple divulgation des données dérobées lors de l’attaque. Cela a par exemple été le cas avec les données de santé du centre hospitalier Sud-Francilien (CHSF) de Corbeil-Essonnes, publiées à la suite du refus de l’établissement de payer la rançon exigée, ou encore de celles de l’équipementier Continental, mises en vente pour une somme de 50 millions de dollars.r.

Cybercriminalité en réseau

Développé en septembre 2019, le rançongiciel LockBit ne sera massivement utilisé qu’à partir de sa version 2.0, puis encore plus depuis sa version 3.0 développée en mai 2022. En effet, cette dernière version est réputée plus efficace que les précédentes : plus discrète lors de la phase d’infiltration, notamment puisqu’elle permet de désactiver les invites de sécurité, rendant ses opérations en tant qu’administrateur difficilement détectables, cette version complique davantage la restauration des systèmes chiffrés sans disposer de la clef de déchiffrement, notamment, car elle permet de dérober les copies des données de serveur. De nouvelles pratiques consécutives à l’apparition de la version 3.0 sont également observées, comme la menace de la divulgation des données dérobées, ou encore des négociations entre les attaquants et leurs victimes pouvant être rendues publiques.

En outre, LockBit 3.0 est considéré comme un Raas (Ransomware as a service), modèle commercial consistant à vendre ou à louer un logiciel malveillant à d’autres hackers. Initialement restreint à une « cyber-armée » d’une centaine de personnes selon l’un de ses membres, dont les candidats devaient justifier de leurs compétences techniques et de leurs faits d’armes antérieurs, le groupe LockBit 3.0 a pu évoluer au cours des derniers mois en un « écosystème criminel » atomisé. En effet, comme le retrace un article du journal Le Monde, des courtiers en accès initial revendant leurs accès dérobés à des systèmes d’information, aux stealers procédant aux vols de données, en passant par les traducteurs, facilitant les négociations entre attaquants et victimes, le groupe restreint LockBit 3.0 a pu voir sa structure évoluer vers la constitution d’un système en maillon, d’un réseau « d’affiliés » dont les membres se partagent les butins de leurs cyberattaques.

Cette atomisation des acteurs du groupe russophone doit être suivie de prêt, notamment depuis la fuite, en septembre 2022, du builder (kit de création) de LockBit 3.0 sur Github, probablement à la suite d’un désaccord interne. Ce builder a d’ores et déjà été réemployé par d’autres cybercriminels, comme le groupe Bl00dy qui, dès septembre 2022, a conduit une attaque contre une entité ukrainienne, alors que le groupe LockBit 3.0 avait déjà fait part de sa neutralité dans le contexte de la guerre russo-ukrainienne. De même, plusieurs éléments du mode opératoire de l’attaque conduite en décembre dernier contre le centre hospitalier de Versailles, comme l’indication du montant de la rançon exigée au sein de l’une des notes, alors que celui-ci est habituellement communiqué en privé, semblent indiquer la non-implication du groupe LockBit 3.0 dans cette attaque.
Théoriquement à la portée de tous, les prochains mois devraient ainsi voir se multiplier de nouvelles versions du rançongiciel LockBit 3.0, sûrement plus performantes, résilientes et menaçantes.

Comment se protéger de LockBit 3.0 ?

Ainsi, comme pour tous les rançongiciels, la prévention contre une attaque au rançongiciel LockBit 3.0 passe tout d’abord part par la sensibilisation des équipes aux méthodes de phishing et l’implémentation de mots de passe fort.

En complément, un système robuste face au rançongiciel LockBit 3.0 se traduit par :

  • L’activation de l’authentification multifacteur, notamment pour prévenir les attaques contre les serveurs et les systèmes réseaux, en ajoutant des niveaux aux identifiants initiaux basés sur des mots de passe,
  • La réévaluation et la limitation des autorisations de comptes utilisateurs,
  • La suppression des comptes utilisateurs obsolètes et inutilisés
  • La vérification de la conformité des configurations systèmes aux procédures de sécurité,
  • La réalisation régulière de sauvegardes hors ligne de l’ensemble du système, pour prévenir la perte définitive de données.

Et quand le mal est fait ?

Etat de l’art des indemnisations des cyber-rançons

Porté par le ministre de l’Intérieur et adopté le 14 décembre 2022, le projet de loi d’orientation et de programmation du ministère de l’Intérieur 2022 – 2027 (LOPMI) entérine une pratique à l’œuvre depuis plusieurs années : l’indemnisation, par les assurances, des cyber-rançons. Désormais conditionnée à un dépôt de plainte de la victime dans les 72 heures « après connaissance de l’atteinte », les closes d’indemnisation de tous dommages causés par une cyberattaque (les députés ayant par ailleurs amendé le texte en ne restreignant plus les indemnisations aux seules rançons) devraient faire leur apparition dans les contrats avec les assurances à la fin du premier trimestre 2023.

En outre, le volet de la lutte contre la cybercriminalité de la LOPMI renforce la répression des plateformes de transactions d’objets illicites, ou encore alourdit les peines encourues pour les cyber-infractions. Reprenant les demandes des assureurs et du ministère de l’Économie de clarifier les règles de prise en charge en cas de cyberattaque, l’indemnisation des rançons en cas de cyberattaque est toutefois critiquée par certains professionnels et organisations de la sécurité numérique, dont l’ANSSI.

En effet, cette disposition remettrait en cause le principe de non-paiement des rançons, appliqué notamment au sein des administrations publiques, d’autant plus lorsque les attaquants ne fournissent aucune garantie de restitution des données et systèmes compromis en cas de paiement. De plus, cette mesure pourrait entrainer un changement des comportements des entreprises et/ou organisations qui, moins réticentes à payer les rançons, pourraient, par voie de conséquence, inciter les cybercriminels à augmenter leurs activités en France. L’ANSSI résume ainsi, dans son guide « Attaques par rançongiciels, tous concernés » : « Il est essentiel de rappeler et de retenir que le paiement des rançons entretient cette activité criminelle et ne garantit pas à la victime la récupération de ses données. »

D’un autre côté, la multiplication des dépôts de plainte pourrait permettre « d’identifier, d’interpeller et de présenter les auteurs de l’attaque à la Justice, afin de mettre un terme au sentiment d’impunité des cyberdélinquants », selon Catherine Pignon, directrice de la Direction des affaires criminelles et des grâces du ministère de la Justice. De plus, ce premier pas vers une normalisation des indemnisations des cyber-rançons pourrait conduire les assurances à exiger de leurs clients une sécurisation robuste de leurs systèmes informatiques ou, a minima, une conformité de ceux-ci avec les règles de sécurité applicables. De quoi inciter les entreprises et organisations à placer la sécurité numérique au cœur de leur stratégie ?

Rédigé par :

Lucas Bodin

Consultant en Cybersécurité, GRC ( Gouvernance, Risque et Conformité) , Néosoft

Vous souhaitez en savoir plus ? Contactez-nous !