L’histoire jusqu’ici: Le 16 avril, des rapports ont révélé que le rançongiciel LockBit ciblait pour la première fois les appareils Mac. Les cybercriminels ont développé un nouveau cryptage de ransomware conçu pour cibler les appareils macOS, ce qui en fait la première opération majeure de ransomware à cibler spécifiquement les ordinateurs Apple. Le nouveau cryptage cible les Mac plus anciens et plus récents fonctionnant sur Apple Silicon.

Plus tôt en janvier, le gang LockBit aurait été à l’origine d’une cyberattaque contre le service postal britannique, provoquant l’arrêt des envois internationaux.

Qu’est-ce que le rançongiciel LockBit ?

Signalé pour la première fois en septembre 2019 et surnommé le virus « abcd », en raison de l’extension de fichier utilisée lors du cryptage des fichiers des victimes, le rançongiciel LockBit est conçu pour infiltrer les systèmes des victimes et crypter les fichiers importants. Ce virus est classé dans la catégorie des « cryptovirus » car il exige un paiement en crypto-monnaie pour décrypter les fichiers sur l’appareil de la victime.

Pour cette raison, les ransomwares sont généralement utilisés contre les victimes qui se sentent suffisamment découragées par l’intrusion pour payer de grosses sommes d’argent en échange d’un accès et être en mesure de le faire.

Le gang derrière le rançongiciel LockBit aurait maintenu un portail Web sombre pour recruter des membres et publier des données sur les victimes qui refusent de se conformer à leurs demandes, dans le cadre de leur modèle commercial. Dans le passé, le rançongiciel LockBit a été utilisé pour cibler des entreprises et des organisations aux États-Unis, en Chine, en Inde, en Ukraine et en Inde. Des attaques ont également été enregistrées dans toute l’Europe, notamment en France, en Allemagne et au Royaume-Uni.

Pourquoi LockBit cible-t-il macOS ?

Historiquement, les rançongiciels ont ciblé les serveurs Windows, Linux et VMware ESXi. Cependant, LockBit travaille maintenant pour créer un cryptage qui cible les Mac pour la première fois, indique un rapport de BleepingComputer.

Une analyse du cryptage révèle qu’ils ont été assemblés comme un test, et non comme un véritable rançongiciel prêt à l’emploi. Les experts estiment qu’après avoir lancé plusieurs attaques à travers l’Europe et l’Asie, le gang développe des outils pour cibler macOS et augmente encore la portée des attaques afin de générer davantage de bénéfices financiers pour l’opération.

(Pour les actualités top tech du jour, abonnez-vous à notre newsletter tech Cache of the Day)

Comment fonctionne le rançongiciel LockBit ?

Il fonctionne comme un malware auto-propagé, ne nécessitant aucune instruction supplémentaire après avoir réussi à infiltrer un seul appareil ayant accès à l’intranet de l’organisation. Il est également connu de masquer les fichiers exécutables cryptés en les masquant au format .PNG, évitant ainsi la détection par les défenses du système.

Les attaquants utilisent des tactiques de phishing et d’autres méthodes d’ingénierie sociale pour se faire passer pour du personnel ou des autorités de confiance afin d’inciter les victimes à partager leurs informations d’identification. Parfois, les rançongiciels utilisent également la force brute pour accéder aux serveurs intranet et aux réseaux organisationnels.

Après avoir obtenu l’accès, le rançongiciel prépare le système à diffuser sa charge utile de cryptage sur autant d’appareils que possible. Il désactive ensuite les programmes de sécurité et les autres infrastructures qui pourraient permettre la récupération des données du système. L’objectif est de s’assurer que la récupération de données sans l’aide du gang LockBit est impossible.

Une fois cela confirmé, le ransomware place une clé de cryptage sur tous les fichiers système, qui ne peuvent être déverrouillés que via une clé spéciale créée par le gang LockBit. Le processus laisse une note de rançon, avec des instructions pour restaurer le système, et comprendrait également un message de chantage menaçant.

Les victimes n’ont alors d’autre choix que de contacter le gang LockBit et de payer les données, que le gang peut vendre sur le dark web – que la rançon soit payée ou non.

Qu’est-ce que le gang de rançongiciels LockBit ?

Le groupe derrière cela est connu sous le nom de gang LockBit. Il est considéré comme le groupe de rançongiciels le plus prolifique de tous les temps. Il fonctionne sur un modèle de ransomware-as-a-service (Raas) et découle d’une série de cyberattaques d’extorsion.

Dans ce modèle, la partie consentante fait un dépôt à utiliser dans une attaque spéciale et génère des bénéfices en payant la rançon. La rançon est répartie entre l’équipe de développeurs de LockBit et l’affilié de l’attaquant, qui reçoivent jusqu’aux trois quarts de la rançon, a déclaré la société de cybersécurité Kaspersky dans un article de blog.

Bien que l’emplacement exact du gang n’ait pas été confirmé, leurs schémas d’attaque et leur tendance à éviter d’attaquer les systèmes russes ou les pays de la Communauté des États indépendants (CEI) suggèrent que le groupe opère sur son territoire et évite que ces pays ne s’échappent. . poursuite.

Quelles mesures les autorités ont-elles prises ?

En raison de son modèle de ransomware en tant que service, le gang LockBit est sur le radar des autorités depuis un certain temps. En novembre 2022, un double citoyen russe et canadien soupçonné d’avoir des liens avec le gang a été arrêté, en Ontario, au Canada, pour son implication présumée dans des attaques visant des infrastructures critiques et de grandes organisations. Les arrestations sont intervenues après que des actions similaires ont été menées en Ukraine, en octobre 2021, selon un rapport de TechCrunch.

Un communiqué de presse du ministère américain de la Justice note que LockBit a fait au moins 1 000 victimes aux États-Unis, accumulant des millions de dollars au passage.

Comment protéger le système contre le rançongiciel LockBit ?

Bien qu’il n’existe aucun moyen garanti de se protéger contre les attaques de ransomwares, les organisations et les individus peuvent prendre certaines mesures pour accroître leur résilience contre ces cybermenaces.

L’utilisation de mots de passe forts, avec de fortes variations de caractères spéciaux qui ne sont pas faciles à deviner et une authentification multi-facteurs doit être mise en place. Cela garantit que le recours à la force ne suffira pas à compromettre le système. Les organisations peuvent également organiser des exercices pour éduquer les employés sur l’utilisation des attaques de phishing et les identifier.

Les comptes d’utilisateurs anciens et inutilisés doivent être désactivés et fermés car ils peuvent constituer un maillon faible de l’appareil de sécurité. De plus, les organisations et les individus doivent avoir une compréhension des menaces de cybersécurité et des points vulnérables que les cybercriminels peuvent exploiter.

• Les cybercriminels ont développé un nouveau cryptage de ransomware conçu pour cibler les appareils macOS, ce qui en fait la première opération majeure de ransomware à cibler spécifiquement les ordinateurs Apple.

• Le gang derrière le rançongiciel LockBit aurait maintenu un portail Web sombre pour recruter des membres et publier des données sur les victimes qui refusent de se conformer à leurs demandes, dans le cadre de leur modèle commercial. Ce virus est classé dans la catégorie des « cryptovirus » car il exige un paiement en crypto-monnaie pour décrypter les fichiers sur l’appareil de la victime.

• Bien qu’il n’existe aucun moyen garanti de se protéger contre les attaques de ransomwares, les organisations et les individus peuvent prendre certaines mesures pour accroître leur résilience contre ces cybermenaces.