En collaboration avec la National Crime Agency (NCA) du Royaume-Uni, Trend Micro a analysé la version en développement et inédite du chiffreur LockBit, rendant ainsi l'ensemble de la gamme de produits inutilisable pour les cybercriminels à l'avenir.
En tant que groupe criminel, LockBit était connu pour innover et essayer de nouvelles choses. Au cours de ce développement innovant, LockBit a sorti plusieurs versions de son ransomware, de la version v1 (janvier 2020) à LockBit 2.0 (surnommé « Red », à partir de juin 2021) jusqu'à LockBit 3.0 (« Black », à partir de mars 2022). En octobre 2021, l’acteur malveillant a introduit Linux. Enfin, une version intermédiaire « verte » est apparue en janvier 2023, qui contenait du code apparemment tiré du défunt ransomware Conti. Cependant, cette version n'était pas une nouvelle version 4.0.
Défis récents et déclin
Récemment, le groupe a été confronté à des problèmes tant internes qu'externes qui ont menacé sa position et sa réputation en tant que l'un des principaux fournisseurs RaaS. Il s’agit notamment de faux messages de victimes et d’une infrastructure instable dans les opérations de ransomware. Les fichiers de téléchargement manquants dans les publications présumées et les nouvelles règles pour les partenaires ont également mis à rude épreuve les relations du groupe. Les tentatives de recrutement de partenaires parmi des groupes concurrents et la sortie attendue depuis longtemps d'une nouvelle version de LockBit indiquent également la perte d'attractivité du groupe.
LockBit 4.0 intercepté
Nous avons récemment pu analyser un échantillon de ce que nous pensons être une version en développement d'un malware indépendant de la plate-forme de LockBit qui diffère des versions précédentes. L'exemple ajoute le suffixe « locked_for_LockBit » aux fichiers chiffrés, qui fait partie de la configuration et peut donc toujours être modifié. En raison de l'état actuel du développement, nous avons nommé cette variante LockBit-NG-Dev, qui, selon nous, pourrait constituer la base de LockBit 4.0, sur lequel le groupe travaille certainement.
Les changements fondamentaux sont les suivants :
- LockBit-NG-Dev est écrit en .NET et compilé avec CoreRT. Lorsque le code est utilisé avec l'environnement .NET, il est indépendant de la plate-forme.
- La base de code est complètement nouvelle en raison du passage à ce langage, ce qui signifie que de nouveaux modèles de sécurité devront probablement être créés pour la détecter.
- Bien qu'il comporte moins de fonctionnalités que la v2 (rouge) et la v3 (noir), celles-ci seront probablement ajoutées au fur et à mesure du développement. Dans l’état actuel des choses, il s’agit toujours d’un ransomware fonctionnel et puissant.
- La possibilité de s'auto-distribuer et d'imprimer des notes de rançon via les imprimantes de l'utilisateur a été supprimée.
- L'exécution a désormais une période de validité en vérifiant la date du jour, ce qui est susceptible d'aider les opérateurs à garder le contrôle sur l'utilisation des affiliés et de rendre plus difficile la tâche des systèmes d'analyse automatisés des sociétés de sécurité.
- Semblable à la v3 (Noire), cette version a toujours une configuration qui inclut des indicateurs pour les routines, une liste de processus et de noms de services à supprimer, ainsi que des fichiers et répertoires à éviter.
- De plus, les noms de fichiers cryptés peuvent toujours être renommés sous un nom aléatoire.
Trend Micro fournit également une analyse technique détaillée de LockBit-NG-Dev en ligne dans son article de blog en anglais.
Plus sur TrendMicro.com
À propos de Trend Micro En tant que l'un des principaux fournisseurs mondiaux de sécurité informatique, Trend Micro aide à créer un monde sécurisé pour l'échange de données numériques. Avec plus de 30 ans d'expertise en matière de sécurité, de recherche sur les menaces mondiales et d'innovation constante, Trend Micro offre une protection aux entreprises, aux agences gouvernementales et aux consommateurs. Grâce à notre stratégie de sécurité XGen™, nos solutions bénéficient d'une combinaison intergénérationnelle de techniques de défense optimisées pour les environnements de pointe. Les informations sur les menaces en réseau permettent une protection meilleure et plus rapide. Optimisées pour les charges de travail cloud, les terminaux, les e-mails, l'IIoT et les réseaux, nos solutions connectées offrent une visibilité centralisée sur l'ensemble de l'entreprise pour une détection et une réponse plus rapides aux menaces.