AccueilSécuritéLe FBI fournit une aide à la détection des attaques de Lockbit

Le FBI fournit une aide à la détection des attaques de Lockbit

Reconnaître une attaque avec le ransomware Lockbit 2.0 – c’est avec cet objectif que le FBI met à la disposition des responsables informatiques et des administrateurs un guide actuel sur les signes qui leur permettent d’identifier une infection de machines. En outre, des conseils doivent aider à rendre les attaques réussies plus difficiles.

Sommaire

Lockbit 2.0 opère en tant que ransomware-as-a-service avec un modèle d’affiliation. Il s’agit d’un cybergang actif depuis quelques années déjà et qui a fusionné en 2020 avec le gang cybercriminel plus connu Maze. Les attaquants utilisent différentes méthodes pour compromettre les réseaux, explique le FBI. Ainsi, le cybergang achète notamment des accès aux réseaux, s’introduit par des failles de sécurité non corrigées, obtient un accès par des initiés ou utilise des exploits zero-day.

Après s’être introduits dans un réseau, les auteurs de Lockbit utilisent des outils disponibles publiquement comme Mimikatz pour étendre leurs droits. Ensuite, le malware supprime les fichiers journaux des applications, de la sécurité et du système ainsi que les copies de l’ombre dans le système. Ensuite, le ransomware rassemble des informations sur le système, comme le nom d’hôte, la configuration, les informations sur le domaine, les lecteurs locaux, les partages réseau ainsi que les supports de stockage externes montés. Lockbit tente ensuite de chiffrer toutes les données locales ainsi que celles stockées sur des supports externes, tout en laissant intacts les fichiers de base du système. Avant le cryptage, les partenaires affiliés utilisent généralement l’application Stealbit du panneau de contrôle Lockbit, pour copier par exemple certains types de fichiers et faire en plus chanter les victimes en publiant ces données, écrit le FBI.

En se basant sur des analyses de systèmes infectés en février de cette année, le FBI a rassemblé des indices concrets permettant aux administrateurs de reconnaître l’attaque de Lockbit 2.0. Vous les trouverez à partir de la page 3 dans le guide PDF du FBI. Une liste complète dépasserait le cadre de cet article.

Lockbit ne s’active que s’il ne trouve pas de paramètres de langue d’Europe de l’Est. C’est pourquoi l’autorité américaine énumère les pages de code des langues qui poussent le malware à l’inactivité. En outre, les analystes mentionnent entre autres les activités observées à l’invite de commande, comme les commandes pour ignorer les erreurs de démarrage ou supprimer le fichier initial du malware. Le FBI énumère également les clés de registre et les directives de groupe utilisées pour désactiver Microsoft Defender.

Les forces de l’ordre américaines donnent des indications sur la manière dont les administrateurs peuvent minimiser la surface d’attaque afin d’empêcher dès le départ une attaque. On y trouve des normes bien connues : par exemple, l’application de la règle consistant à munir tous les accès protégés par mot de passe de mots de passe forts, longs et individuels, ainsi que de miser sur l’authentification à facteurs multiples.

En outre, les administrateurs doivent maintenir à jour le système d’exploitation et les logiciels tiers. Mais le FBI énumère également des conseils plus rares, comme la suppression des accès inutiles aux partages administratifs comme ADMIN$ ou C$. Pour les responsables informatiques, il pourrait s’agir d’un point qui est parfois négligé.

Étant donné que les attaques de ransomware font désormais malheureusement partie du quotidien des entreprises et des organisations, de telles indications sont certes utiles. Mais ils ne remplacent pas, par exemple, une sauvegarde régulière qui, dans l’idéal, doit être déconnectée du réseau, respectivement de la machine locale, après la création de la sauvegarde. Ainsi, le ransomware ne peut pas également la chiffrer. Et les responsables informatiques pourraient ainsi au moins rétablir rapidement l’activité commerciale.

Lire aussi

Plus d'articles