in

Ce ransomware se propage sur des centaines d’appareils en un rien de temps

Le rançongiciel LockBit contient une fonctionnalité qui permet aux attaquants de crypter des centaines d’appareils en quelques heures seulement après avoir violé un réseau d’entreprise.

LockBit est un assez nouveau Ransomware-as-a-Service (RaaS) qui a été lancé en septembre de l’année dernière. Les développeurs du ransomware sont chargés de maintenir son site de paiement et ses mises à jour pendant que les affiliés s’inscrivent pour distribuer le malware. Les développeurs de LockBit gagnent alors environ 25 à 40 pour cent des paiements de rançon reçus tandis que les affiliés gagnent une part légèrement plus importante à 60 à 75 pour cent.

Des chercheurs de McAfee Labs et de la société de cybersécurité Northwave ont publié un rapport conjoint révélant comment un affilié de ransomware LockBit a piraté un réseau d’entreprise et chiffré 25 serveurs et 255 postes de travail en seulement trois heures.

Les pirates ont commencé leur attaque en forçant brutalement un compte administrateur via un service VPN obsolète. Cela leur a donné les informations d’identification administratives dont ils avaient besoin pour déployer le rançongiciel LockBit sur le réseau.

Ransomware à propagation automatique

Selon une analyse de McAfee, le ransomware LockBit comprend une fonctionnalité qui lui permet de se propager au reste des ordinateurs sur un réseau par lui-même.

En plus de chiffrer les fichiers d’un appareil cible, LockBit effectue également des requêtes ARP pour trouver d’autres hôtes actifs sur un réseau et tente de s’y connecter via le protocole SMB (Server Message Block). Si le ransomware réussit à se connecter à un ordinateur via SMB, il émet alors une commande PowerShell à distance pour télécharger le ransomware et l’exécuter.

Au fur et à mesure que LockBit se propage à davantage d’ordinateurs sur un réseau, ces ordinateurs sont ensuite utilisés pour accélérer le déploiement du ransomware sur les autres appareils du réseau. Cette fonctionnalité est ce qui rend LockBit si dangereux car contrairement aux autres types de ransomwares, il peut se propager de lui-même et à un rythme beaucoup plus rapide.

Étant donné que LockBit ne nécessite pas beaucoup de compétences pour être déployé, attendez-vous à ce que ce ransomware continue de croître et de se développer à mesure que de plus en plus de cybercriminels deviennent affiliés.

Via BleepingComputer

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

GIPHY App Key not set. Please check settings