Les chercheurs l’appellent une évolution des versions antérieures et non un bond en avant, mais conseillent toujours aux OSC de mieux sécuriser les hôtes ESXi.
Le Gang Lockbit a publié une nouvelle version de son ransomware avec une vitesse de cryptage ESXi améliorée. Cependant, un chercheur en sécurité qui a parlé à des membres de gangs seniors dit que Lockbit 5.0 est plus «de réglage fin de certaines fonctionnalités de base… et beaucoup de propagande» qu’un saut majeur des capacités.
En 2023, Jon DiMaggio, stratège en chef de la sécurité chez US Analyst1, a révélé dans une série de rapports sur la façon dont il a passé des mois à développer plusieurs personnages en ligne pour accéder à l’opération du gang, puis a demandé aux dirigeants de renoncer aux détails de la façon dont cela a fonctionné. Et tandis que le retrait de février 2024 d’une grande partie de l’infrastructure informatique du gang dans l’opération Cronos n’a pas mis le ransomware comme opération de service en faillite, il a beaucoup fait de la crédibilité du gang parmi les escrocs, a-t-il déclaré dans une interview.
Le lancement d’une nouvelle version, ainsi que l’élargissement du partage des bénéfices du gang avec les affiliés, est un moyen de récupérer une partie de cette réputation.
Lockbit 5.0 « n’est pas une entreprise massive », a-t-il déclaré. «Il crypte plus rapidement, ce qui rendra les attaques un peu plus lisses» pour l’abonnement aux escrocs. « C’est mieux pour échapper à la détection – mais tout aussi chaque nouvelle variante de ransomwares », a-t-il ajouté. « Mais ce qui est une réalisation, c’est que Lockbit a toujours été bon pour l’auto-bandage, et c’est pourquoi il y a du bruit » à propos de cette nouvelle version.
DiMaggio commentait le rapport de cette semaine de Trend Micro sur Lockbit 5.0, qui a des variantes Windows, Linux et VMware ESXi.
Quoi de neuf dans Lockbit 5.0
Dans son analyse, Trend Micro a découvert que:
- Le binaire Windows utilise une obscurité lourde et un emballage: il charge sa charge utile via la réflexion DLL tout en mettant en œuvre des techniques anti-analyse comme le traçage des événements pour les correctifs de Windows (ETW) et la résiliation des services de sécurité;
- La variante Linux maintient des fonctionnalités similaires avec des options de ligne de commande pour cibler des répertoires et des types de fichiers spécifiques;
- La variante ESXi cible spécifiquement les environnements de virtualisation VMware et est conçu pour crypter des infrastructures de machines virtuelles entières en une seule attaque.
Les dommages causés à un lecteur ESXi peuvent être importants pour une organisation. Micro-notes de tendance qu’un seul hôte ESXi exécute souvent des dizaines de serveurs critiques. Le cryptage au niveau de l’hyperviseur peut réduire à la fois de nombreux services commerciaux.
Ces nouvelles versions Lockbit partagent des comportements clés, notamment des extensions de fichiers randomisées à 16 caractères, l’évitement du système de langue russe par le biais de vérifications de géolocalisation et la compensation du journal des événements après le registre,, selon Trend Micro. La version 5.0 partage également les caractéristiques du code avec Lockbit 4.0, y compris des algorithmes de hachage identiques et des méthodes de résolution d’API, confirmant qu’il s’agit d’une évolution de la base de code d’origine plutôt qu’une imitation.
«Les acteurs des ransomwares et leurs affiliés modifient régulièrement leur TTPS (tactiques, techniques et procédures) pour rester en avance sur les défenses ainsi que les forces de l’ordre», a déclaré Jon Clay, vice-président de la renseignement des menaces de Trend Micro. «Les organisations doivent envisager d’adopter de nouveaux modèles de cybersécurité qui deviennent de l’avance sur une attaque en mettant en œuvre une approche proactive par rapport à l’approche réactive de détection et de réponse traditionnelle. Mettre en œuvre une approche basée sur les risques qui peut découvrir toute leur surface d’attaque, identifier et hiérarchiser les risques associés à ces surfaces d’attaque, et permettre aux contrôles atténuants qui peuvent minimiser leur risque de s’améliorer dans leur posture de sécurité.» ».
Après le retrait de février 2024 de l’infrastructure de Lockbit, un ressortissant russe présumé que l’administrateur a été inculpé aux États-Unis, mais est toujours en liberté.
Cinq jours plus tard, l’équipage a ramené de nouveaux serveurs et a restauré des panneaux d’administration pour les abonnés. « Mais ce qui s’est passé dans les coulisses, c’est que tout le monde les renvoie. « Il a commencé à mentir et à sortir de fausses victimes (sur le site Web sombre du gang) » pour montrer que la portée du gang n’avait pas diminué.
Cela n’a pas aidé que, plus tôt cette année, quelqu’un ait divulgué un dossier de la base de données du panel d’affiliation de Lockbit avec des détails comprenant plus de 4 400 messages de négociation de victimes.
Même les quelques victimes qui sont maintenant touchées par Lockbit ne versent pas comme ils le faisaient. DiMaggio a cité une affaire cette année où une victime n’a payé que 800 $ pour obtenir l’accès.
«Ce n’est pas comme d’habitude» pour le gang, a déclaré DiMaggio. «Ces 100 millions de dollars sont révolus depuis longtemps. Mais il essaie de reconstruire. C’est ce que cet effort est. Il essaie de restaurer la confiance et d’attirer les gens pour revenir et travailler pour lui, c’est pourquoi il essaie de renforcer les bénéfices avec des affiliés et de faire fonctionner le malware un peu plus rapide.»
Que devrait faire les CSO maintenant?
- Supprimez les hôtes ESXi de l’exposition directe à Internet. Les consoles de gestion doivent être à l’origine d’un VPN, soutenu par un fort contrôle d’accès basé sur les rôles.
- Gardez l’ESXi patché et utilisez uniquement des versions prises en charge.
- Exiger de quiconque a accès à la console de gestion VCenter pour se connecter avec l’authentification multi-facteurs.
- Désactivez les services inutilisés comme SSH et suivez le guide de configuration de la sécurité VSPhere et les conseils de défense du ransomware VMware.
- Demandez aux équipes de chasser des précurseurs d’attaque par l’hyperviseur et le mouvement latéral tels que les connexions inhabituelles de l’administrateur, la terminaison de masse ou la manipulation d’instantanés.
