Zoom sur les PME : Sophos présente sa dernière étude sur le rançongiciel LockBit. Deux techniques se distinguent : premièrement, utiliser des outils automatisés pour infecter certains logiciels fiscaux et comptables sur des réseaux piratés avec des ransomwares, et deuxièmement, renommer des fichiers PowerShell pour se déguiser.
« Les attaquants de LockBit utilisent des outils d'attaque automatisés pour identifier des cibles prometteuses », résume Sean Gallagher, chercheur principal sur les menaces chez Sophos. L'analyse révèle comment les criminels utilisent les outils PowerShell pour rechercher des applications commerciales spécifiques sur des réseaux piratés, y compris des logiciels fiscaux et comptables. Si une empreinte digitale générée par cette recherche correspond aux critères du mot-clé, les outils effectuent automatiquement un certain nombre de tâches, y compris le lancement de l'attaque LockBit.
De nouvelles méthodes d'attaque identifiées
Les chercheurs ont également pu identifier un certain nombre de nouveaux vecteurs d'attaque qui permettent à LockBit d'échapper à la détection. Cela inclut le renommage des fichiers PowerShell et l'utilisation d'un Google Doc distant pour la communication de commande et de contrôle. En raison de la nature hautement automatisée des attaques, une fois lancé, le ransomware peut se propager sur le réseau en cinq minutes, supprimant simultanément ses journaux d'activité.
Les attaquants LockBit ciblent spécifiquement les petites entreprises en tant que victimes
"L'intérêt de LockBit pour des applications commerciales et des mots-clés spécifiques indique que les attaquants voulaient clairement identifier les systèmes qui sont précieux pour les petites entreprises - des systèmes qui stockent des données financières et gèrent les opérations quotidiennes - afin de faire massivement pression sur les victimes pour qu'elles paient", a déclaré Gallagher. . "Nous avons vu des ransomwares geler des applications professionnelles pendant leur exécution, mais c'est la première fois que des attaquants recherchent des types d'applications spécifiques avec une approche automatisée pour identifier des cibles potentielles."
Le groupe de rançongiciels LockBit suit les factions de rançongiciels comme Ryuk
"Le gang LockBit semble suivre d'autres groupes de cyber-gangsters, dont Ryuk. Sophos a récemment découvert ce groupe utilisant Cobalt Strike. Il s'agit d'outils adaptés développés pour les tests d'intrusion afin d'automatiser et d'accélérer les attaques. Dans ce cas, les scripts PowerShell aident les attaquants à identifier les systèmes qui hébergent des applications avec des données particulièrement précieuses. De cette façon, ils ne veulent pas perdre leur temps avec des victimes qui sont moins susceptibles de payer. »
Utilisation abusive d'outils légitimes et modification de la protection anti-malware
Les attaquants de LockBit essaient de cacher leurs activités en les faisant ressembler à des tâches administratives normales et automatisées et en utilisant des outils légitimes : par exemple, les criminels créent des copies déguisées des composants de script Windows, puis utilisent le planificateur de tâches Windows pour les lancer. De plus, ils modifient la protection anti-malware intégrée afin qu'elle ne puisse plus fonctionner.
« La seule façon de se défendre contre ces types d'attaques de rançongiciels est d'utiliser une défense multicouche avec une mise en œuvre cohérente de la protection contre les logiciels malveillants sur tous les systèmes. Si les services ne sont pas protégés ou sont mal configurés, les attaquants peuvent facilement les exploiter », conclut Gallagher.
En savoir plus sur Sophos.com
À propos de Sophos Plus de 100 millions d'utilisateurs dans 150 pays font confiance à Sophos. Nous offrons la meilleure protection contre les menaces informatiques complexes et la perte de données. Nos solutions de sécurité complètes sont faciles à déployer, à utiliser et à gérer. Ils offrent le coût total de possession le plus bas du secteur. Sophos propose des solutions de chiffrement primées, des solutions de sécurité pour les terminaux, les réseaux, les appareils mobiles, la messagerie et le Web. Vous bénéficiez également de l'assistance des SophosLabs, notre réseau mondial de centres d'analyse propriétaires. Le siège social de Sophos se trouve à Boston, aux États-Unis, et à Oxford, au Royaume-Uni.