Les experts en cybersécurité de Kaspersky ont rapporté que LockBit, l’un des groupes de ransomware les plus prolifiques en activité aujourd’hui, a récemment ajouté à son arsenal une fonctionnalité multi-plateforme améliorée. LockBit s’est fait connaître en ciblant des entreprises et des organisations du monde entier, laissant dans le sillage de ses attaques d’importants ravages financiers et opérationnels. Le dernier rapport de Kaspersky illustre la détermination de LockBit à étendre sa portée et à maximiser l’impact de ses activités malveillantes.
Tribune – À ses débuts, LockBit opérait sans utiliser les portails de fuite, les méthodes de double extorsion, et l’exfiltration des données avant de chiffrer les données des victimes de ses attaques. Toutefois, le groupe n’a cessé de développer son infrastructure et ses dispositifs de sécurité pour protéger ses actifs contre diverses menaces, notamment les attaques sur ses panneaux d’administration et les attaques par déni de service distribué (DDoS).
Les chercheurs en cybersécurité ont observé que LockBit adopte le code d’autres groupes de ransomware bien connus, tels que BlackMatter et DarkSide. Cette stratégie permet non seulement de simplifier les opérations pour les affiliés potentiels, mais aussi d’élargir la gamme des vecteurs d’attaque employés par LockBit. Les récentes découvertes de l’équipe Kaspersky Threat Attribution Engine (KTAE) ont permis de découvrir que LockBit a incorporé environ 25 % du code précédemment utilisé par Conti, groupe de ransomware aujourd’hui disparu, ce qui a donné naissance à une nouvelle version du ransomware, connue sous le nom de LockBit Green.
Les chercheurs de Kaspersky ont découvert un fichier ZIP contenant des échantillons de LockBit spécifiquement adaptés à plusieurs architectures, notamment Apple M1, ARM v6, ARM v7, FreeBSD, etc. Après une analyse et une enquête approfondie menée avec l’équipe KTAE, ils ont confirmé que ces échantillons provenaient de la version Linux/ESXi de LockBit observée précédemment.
Bien que certains échantillons, comme la variante macOS, nécessitent une configuration supplémentaire et ne sont pas signés correctement, il est évident que LockBit teste activement son ransomware sur diverses plateformes, ce qui indique une intensification imminente des attaques. Cette évolution souligne l’importance de mettre en place des mesures de cybersécurité robustes sur toutes les plateformes, et d’une sensibilisation accrue du monde des affaires.
« LockBit est un groupe de ransomware très actif et notoirement connu pour ses cyberattaques dévastatrices, menées à l’encontre d’entreprises et d’organisations partout dans le monde. Grâce à l’amélioration constante de son infrastructure et à l’incorporation de codes provenant d’autres gangs de ransomwares, LockBit représente une menace importante et évolutive pour les organisations de divers secteurs d’activité. Il est impératif que les entreprises renforcent leurs défenses, mettent régulièrement à jour leurs systèmes de sécurité, forment leurs employés aux meilleures pratiques en matière de cybersécurité et établissent des protocoles de réponse aux incidents afin d’atténuer efficacement les risques posés par LockBit et d’autres groupes de ransomware similaires », commente Marc Rivero, chercheur principal en sécurité au sein de l’équipe de recherche et d’analyse mondiale de Kaspersky.
Pour vous protéger, vous et votre entreprise, des attaques de ransomware, pensez à suivre les conseils préconisés par Kaspersky :
-
Maintenez toujours vos appareils à jour afin d’empêcher les attaquants d’exploiter les vulnérabilités et d’infiltrer votre réseau.
-
Concentrez votre stratégie de défense sur la détection des mouvements latéraux et des fuites de données vers l’internet. Accordez une attention particulière au trafic sortant afin de détecter les connexions des cybercriminels à votre réseau. Mettez en place des sauvegardes hors ligne que les intrus ne peuvent pas pirater. Assurez-vous de pouvoir y accéder rapidement en cas de besoin ou d’urgence.
-
Activez la protection contre les ransomwares sur tous les postes de travail. Il existe un outil gratuit, Kaspersky Anti-Ransomware Tool for Business, qui protège les ordinateurs et les serveurs contre les ransomwares et d’autres types de logiciels malveillants, empêche les exploits et est compatible avec les solutions de sécurité déjà installées.
-
Installez des solutions anti-APT et EDR, permettant des capacités de découverte et de détection avancées des menaces, d’investigation et de remédiation rapide des incidents. Fournir à votre équipe SOC l’accès aux dernières informations sur les menaces et la former régulièrement à l’aide de formations professionnelles.
-
Fournissez à votre équipe SOC l’accès aux dernières informations sur les menaces (TI). Le portail Kaspersky Threat Intelligence Portal est un point d’accès unique à la veille sur les menaces de Kaspersky, qui fournit des données sur les cyberattaques et des informations recueillies par notre équipe au cours des 20 dernières années. Pour aider les entreprises à se défendre efficacement en ces temps agités sur le front cyber, Kaspersky a annoncé qu’elle offrait gratuitement l’accès à des informations indépendantes, mises à jour en permanence et provenant du monde entier sur les cyberattaques et les menaces actuelles.