top of page
Rechercher

LockBit est de retour avec la version 5.0

  • Photo du rédacteur: Loïc Castel
    Loïc Castel
  • il y a 7 jours
  • 6 min de lecture

Introduction

Le groupe de ramsomware pro-russe LockBit fête son 6ème anniversaire en dévoilant la cinquième version de son ransomware. LockBit 5.0 est l’un des ransomwares les plus puissants et dangereux jamais créés.



Safercy a mené une investigation complète et approfondie de ce ransomware, identifié comme Lockbit 5.0, afin de comprendre ses mécanismes de propagation, ses vecteurs d'attaque, ainsi que les vulnérabilités exploitées. Cette investigation fait suite à une réponse à incident (https://www.safercy.com/reponse-a-incident) effectuée par les équipes Safercy dans le but d’aider un de leurs clients à affronter cette menace.


Cette analyse a permis de documenter en détail le mode opératoire de ce groupe cybercriminel, depuis l'infiltration initiale jusqu'à l'exfiltration des données et le chiffrement des systèmes. Nos experts ont documenté les éléments suivants : reconstituer la chaîne d'événements, analyser les indicateurs de compromission (IoC) et développer des stratégies de remédiation adaptées pour contrer efficacement les menaces futures.


Dans une première partie, nous décrirons brièvement le mode opératoire utilisé pour le déploiement de Lockbit 5.0. Dans une seconde, nous décrirons le ransomware et les différences identifiées par rapport à ses versions précédentes.

Enfin, les dernières parties concernent le partage d'indicateurs de compromission ainsi que des conseils pour mieux agir face à cette menace.


Les points clé 

Les points clé de cette analyse sont les suivants :


  • Nouvelle version majeure : LockBit 5.0 marque le 6e anniversaire du groupe pro-russe, se positionnant comme un ransomware "plus puissant et dangereux".

  • Rapidité et furtivité : Il chiffre plus rapidement, est plus discret et couvre ses traces, rendant les investigations très compliquées.

  • Multi-plateforme : Des versions pour Windows et Linux ont été retrouvées, et une version ESXi est également connue.

  • Contournement de défenses : Le malware est capable de déterminer les systèmes de protection et de les contourner.

  • Auto-destruction : LockBit 5.0 s'autodétruit après son exécution.

  • Exclusion géographique : Le ransomware vérifie la langue du système d'exploitation et la géolocalisation ; il s'interrompt si le système est en russe ou situé en Russie.


Voici les points clés concernant le mode opératoire associé au déploiement du ransomware Lockbit 5.0 observé : 


  • Exfiltration préalable : Les attaquants ont d'abord déployé l'outil rclone pour une exfiltration massive des données.

  • Vol de credentials : Des outils comme Mimikatz ont été utilisés pour accéder aux hashs des utilisateurs locaux et du domaine.

  • Chiffrement partiel : Pour gagner du temps, les fichiers de plusieurs gigaoctets ne sont pas entièrement chiffrés (seul le début est chiffré pour les rendre illisibles).

  • Arrêt de services : Le ransomware interrompt des services en calculant leur hash et en le comparant à une liste prédéfinie.

  • Nettoyage des traces : Les journaux EVTX sont effacés après le chiffrement.


Avant le déploiement du ransomware

Ce chapitre décrit le mode opératoire de l’attaquant ou “affilié” qui a déployé le ransomware Lockbit 5.0. 


Sans trop rentrer dans les détails, il est toujours intéressant de partager une partie des TTPs (Tactiques, techniques et procédures) identifiées pendant l’attaque avant le déploiement de l’outil malveillant utilisé, dans notre cas Lockbit 5.0.


Les analyses indiquent que les attaquants se sont connectés entre sur le réseau de la victime à travers un VPN (Fortinet). Les actions des attaquants ont principalement été menées durant les heures nocturnes françaises, afin de minimiser les détections.


Logs VPN indiquant une connexion réussie de l’attaquant.


Depuis cet accès VPN, le compte utilisé était privilégié, et en mesure de faire du Remote Desktop Protocol sur les serveurs du parc. Ainsi, à l’aide d'outils comme Mimikatz, les attaquants ont pu récupérer les comptes locaux et de domaine pour ensuite réaliser un mouvement latéral vers les contrôleurs de domaine.


Exécutables lancés dans une optique d’énumération, de mouvement latéral et d’exfiltration


Ensuite, les attaquants ont recueilli des fichiers dans le cadre d’une phase de collection puis ont déployé l’outil rclone (https://rclone.org/) pour une exfiltration de ces données recueillies. 


Malgré l’effacement de traces de l’attaquant, les investigateurs Safercy ont pu récupérer le fichier de configuration via la MFT (Master File Table / https://fr.wikipedia.org/wiki/Master_File_Table). 


Configuration Rclone chiffrée


Les analyses montrent également que les attaquants ne sont arrêtés qu’au simple domaine Active Directory, mais ont également pivoté vers un NAS Synology, utilisé comme serveur de sauvegarde. Sur ce dernier, plusieurs fichiers ont été supprimés.


Après avoir été bloqué par l’antivirus sur le contrôleur de domaine, plusieurs tentatives d’élévation de privilèges, ou encore la désactivation de Windows Defender qui ont abouties ont été identifiées par les équipes de Safercy. Ceci a été réalisé dans l’objectif de déployer le ransomware sans interruption.


Quelles nouveautés pour LockBit 5.0 ?

Nos équipes d’investigateurs Safercy ont pu analyser cette nouvelle version dans un cas réel. Comparé à ses prédécesseurs, ce ransomware chiffre plus rapidement, est plus discret, couvre ses traces, rendant les investigations très compliquées. Il faut également ajouter à cela le fait que ce malware est capable de déterminer les systèmes de protection et de les contourner. Pour couronner le tout, LockBit 5.0 s’autodétruit après son exécution.


Les investigateurs ont pu retrouver une version Windows et Linux, en sachant qu’une version ESXi existe également.

Cependant, cette version 5.0 de LockBit n’a pas été entièrement refaite de zéro, les analystes ont retrouvé des similitudes avec l’ancienne version comme les algorithmes de hashing.


Il est possible d’exécuter le malware avec plusieurs paramètres:



-d  #répertoires à chiffrer

-b  #répertoires à ne pas chiffrer

-i  #exécution en mode invisible (pas de note, pas de changement d’extension, etc..)

-n  #0 : pas de note 
    #1 : des notes sont déployés dans tous les dossiers
    #2 : des notes sont déployés seulement dans le disque C:\

-m  #all : chiffrement de tous les fichiers 
    #local : chiffrement de seulement les fichiers locaux
    #net : chiffrement de seulement les fichiers sur le réseau


Selon le rapport de Trend Micro, le ransomware vérifie la langue du système d'exploitation et la géolocalisation. Si le système est en russe ou situé en Russie, l'exécution s'interrompt.


Nos investigations ont remonté plusieurs informations:


  • Un fichier nommé ReadMeForDecrypt.txt est généré dans chaque dossier où des fichiers ont été chiffrés. Il contient des liens Tor permettant d'accéder à la publication des données et de communiquer avec les cybercriminels.


Ransomware Note


  • Les fichiers chiffrés se voient ajouter une extension de 16 caractères aléatoires


Fichiers chiffrés


  • Pour gagner du temps, les fichiers de plusieurs gigaoctets ne sont pas entièrement chiffrés. Seul le début du fichier est chiffré, ce qui est suffisant pour le rendre illisible par les systèmes d'exploitation mais peut permettre de récupérer des informations en clair sur des fichiers de taille importante

  • Le ransomware interrompt les services en calculant leur hash et en le comparant à une liste prédéfinie de hash

  • Le ransomware efface les journaux EVTX après le chiffrement

 

Extrait de journaux indiquant la suppression de journaux EVTX


IOCs / Indicateurs de compromission


Type

Valeur

Description

Fichier

ReadMeForDecrypt.txt

Ransom Note Lockbit 5.0

Fichier

chuongdong64.exe

Lockbit Rançonlogiciel

SHA256

180e93a091f8ab584a827da92c560c78f468c45f2539f73ab2deb308fb837b38

Lockbit rançonlogicielSHA256

SHA256

1ae7f20fa15f9c0fe9d8244b13d011abdc62c8a1716c47a3dad968a7f4081568

Ransom Note Lockbit 5.0



Conclusion


LockBit 5.0 représente une avancée majeure dans les menaces par rançongiciel. Cette version, marquant les six ans du groupe pro-russe, offre un chiffrement plus rapide, une discrétion accrue, et s'autodétruit après exécution, rendant les enquêtes complexes. 


Polyvalent, il cible Windows, Linux et ESXi, contourne les protections, et malgré des similarités avec ses prédécesseurs, il intègre des nouveautés comme le chiffrement partiel des fichiers volumineux et l'arrêt de services spécifiques. 


La présence de ReadMeForDecrypt.txt et les extensions aléatoires confirment son action. Face à cette menace, l'analyse des IOCs et la récupération des fichiers de configuration, bien que plus difficiles, demeurent essentielles pour atténuer son impact.


Comment se protéger ?


Mettre en place des mesures de surveillance:


  • Implémenter ou consolider la segmentation au niveau réseau et Active Directory (tiering)

  • Implémenter un niveau de log élevé (Sysmon est également une bonne solution)

  • Implémenter un EDR (https://www.safercy.com/safersoc) pour une surveillance continue

  • Implémenter des règles de détection sur la création de service, de tâche planifiée et l’arrêt de service


Vous avez été affecté ou suspectez une compromission ?


  • Isoler les équipements infectés sans les éteindre, permettant de garder la mémoire pour une future investigation (une mise en veille peut également être préconisée afin de stopper le chiffrement si celui-ci n’est pas terminé)

  • Faire une rotation des mots de passe du domaine, réinitialiser également les comptes critiques tels que krbtgt plusieurs fois. En cas de persistance avérée sur le domaine, une reconstruction peut être nécessaire.

  • Créer des règles de blocage/isolation concernant toutes les connections avec l’adresse IP de l’attaquant et les autres indicateurs de compromission identifiés (hashs, clés de registre, etc. )

  • Faites intervenir une équipe spécialisée dans les investigations et la gestion de crise afin de vous accompagner 


L’équipe Safercy vous accompagne à chaque étape — avant, pendant et après un incident de sécurité — grâce à une gamme de services pensés pour protéger durablement vos actifs :

  • SaferFind (https://www.safercy.com/saferfind-cti-dark-web-monitoring): notre solution de veille proactive qui explore en continu le dark web afin de détecter d’éventuelles fuites de données concernant votre organisation.

  • Investigation numérique et accompagnement pendant la crise (https://www.safercy.com/reponse-a-incident) : une analyse approfondie de vos systèmes compromis pour retracer avec précision le parcours de l’attaquant, comprendre ses actions et identifier les données auxquelles il a eu accès.

  • Post-incident (https://www.safercy.com/audit-conseil-cybersecurite) : un accompagnement sur mesure pour renforcer vos défenses, durcir vos systèmes et mettre en place les meilleures pratiques de cybersécurité afin de réduire les risques futurs.


Références:


 
 
bottom of page