Cette nouvelle version du malware utilise des techniques avancées d’anti-analyse et d’obscurcissement
chercheur de Sentinelle de laboratoireSentinelOne, la division de recherche de SentinelOne, a récemment publié les résultats de son analyse des logiciels malveillants LockBit 3.0. Le ransomware LockBit 3.0 (également connu sous le nom de LockBit Black) est une évolution de la famille répandue des ransomwares en tant que service (RaaS), qui a ses racines dans BlackMatter et les logiciels malveillants associés. Après la découverte d’un bogue critique dans LockBit 2.0 en mars 2022, les auteurs de logiciels malveillants ont commencé à mettre à jour leurs procédures de chiffrement et à ajouter plusieurs nouvelles fonctionnalités pour tromper les chercheurs en sécurité.
Il y a quelques semaines, le groupe de ransomware responsable du malware était également excité La fureur dans le paysage médiatique des technologies de l’information, lorsque les acteurs de la menace ont annoncé le programme dit “Bug Bounty” avec le slogan “Make ransomware great again!”. Il s’agit d’une initiative visant à identifier les erreurs dans le programme en échange de prix en espèces pour les contributeurs. L’objectif est sans doute d’améliorer la qualité des logiciels malveillants en sous-traitant le débogage à des membres éthiquement résilients de la cyber-communauté.
Voici les principales innovations et aspects techniques de la nouvelle version de LockBit :
Fuites et serveurs miroirs
Les acteurs de la menace derrière le rançongiciel LockBit ont commencé à migrer vers LockBit 3.0 en juin 2022. Ce changement a rapidement attiré l’attention des cybercriminels, et de nombreuses victimes ont été identifiées sur le nouveau site de fuite “version 3.0”. En outre, les acteurs de la menace configurent plusieurs serveurs identiques pour les données récupérées et les URL de sites Web publiés afin d’accroître la robustesse de leurs opérations.
Charge utile et cryptage
La livraison initiale de la charge utile du rançongiciel LockBit est généralement gérée par des frameworks tiers tels que Cobalt Strike. Comme avec LockBit 2.0, les observations montrent que l’infection se produit également via d’autres composants malveillants, par exemple l’infection B. SocGholish menant à Cobalt Strike. La charge utile elle-même est un fichier Windows PE standard et ressemble fortement aux générations précédentes des familles de rançongiciels LockBit et BlackMatter. Il est conçu pour fonctionner avec des privilèges administratifs et la persistance est obtenue en installant des services système.
Anti-analyse et évasion
Le ransomware LockBit 3.0 utilise diverses techniques anti-analyse pour empêcher l’analyse statique et dynamique et partage des similitudes avec le ransomware BlackMatter à cet égard. Ces techniques comprennent le remplissage de code, l’obfuscation d’activité, la précision de l’adresse de fonction dynamique, les fonctions de trampoline et les techniques d’anti-débogage.
conclusion
Le groupe derrière LockBit est rapidement devenu l’un des fournisseurs de RaaS les plus prolifiques et s’est imposé comme le successeur du groupe de rançongiciels Conti. Les représentants de la menace ont prouvé qu’ils réagissent rapidement aux problèmes avec leurs produits et ont le savoir-faire technique pour continuer à évoluer. L’annonce récente d’offrir une prime pour la recherche de bogues logiciels démontre également une compréhension approfondie du public cible et du paysage médiatique, qui est actuellement inondé de nouvelles sur les logiciels criminels et les compromissions institutionnelles.
À moins que les forces de l’ordre n’agissent, ce RaaS continuera de prospérer dans un avenir prévisible, tout comme de nombreuses autres itérations de ce qui est sans aucun doute un style d’attaque très réussi. Comme pour les ransomwares, la défense proactive est plus efficace que la réaction à la compromission. Par conséquent, l’équipe de sécurité doit s’assurer qu’elle dispose d’une protection complète contre les ransomwares.
Pour plus de détails, consultez le rapport complet de LockBit 3.0 SentinelLabs : https://www.sentinelone.com/labs/lockbit-3-0-update-unpicking-the-ransomwares-latest-anti-analysis-and-evasion-techniques/
