LockBit revient à l’offensive avec une version 5.0 de son rançongiciel capable de frapper aussi bien les postes Windows que les serveurs Linux ou ESXi. Le groupe mise toujours sur son modèle "ransomware-as-a-service", en fournissant l’outil à des affiliés qui mènent leurs propres campagnes d’attaque.
Le groupe de hackers LockBit ne cesse de revenir. Nous avions d'ailleurs suivi le démantèlement partiel de son infrastructure lors de l’opération Cronos. Le groupe a ensuite noué des alliances avec d’autres groupes comme Qilin et DragonForce.
LockBit 5.0, un même noyau mais des cibles plus larges
Selon les experts d’Acronis, LockBit 5.0 reste largement basé sur le noyau de la version 4.0, avec les mêmes briques de chiffrement, mais le ransomware gagne en modularité et en vitesse. Le malware fonctionne sur Windows, Linux et ESXi, ce qui lui permet donc de viser à la fois les postes des employés, les serveurs, ainsi que les infrastructures de virtualisation. Les opérateurs revendiquent en particulier la prise en charge de toutes les versions de Proxmox, une solution de virtualisation open source répandue dans les entreprises et les hébergeurs.
Le mécanisme de chiffrement repose sur l’algorithme XChaCha20 pour verrouiller le contenu des fichiers de la victime, avec pour chaque élément une clé unique. Cette clé est ensuite chiffrée via Curve25519, une forme de cryptographie asymétrique. Concrètement, LockBit 5.0 parcourt les dossiers, chiffre les fichiers en parallèle via plusieurs threads, ajoute un bloc de métadonnées en fin de fichier (taille d’origine, clé chiffrée) et applique une extension aléatoire de 16 caractères, tout en déposant une note de rançon dans chaque répertoire.
La version Linux permet de régler le pourcentage de chaque fichier à chiffrer. Pourquoi ? Tout simplement pour gagner du temps tout en rendant les documents inutilisables. Sur ESXi, le binaire commence par vérifier, via la commande "vmware -v", qu’il tourne bien sur un hyperviseur VMware avant de cibler les fichiers des machines virtuelles dans le répertoire "/vmfs/". Il peut aussi arrêter des VM, ignorer certains identifiants et se dupliquer via fork pour continuer à chiffrer en tâche de fond.
Un ransomware qui devient de plus en plus complexe
Sur Windows, LockBit 5.0 déploie diverses méthodes d'évasion pour ralentir les analystes et passer outre les outils de sécurité. Le binaire 64 bits est compressé, présente un faux certificat expiré au nom de BorgWarner et masque la quasi-totalité de ses appels d’API. Les développeurs utilisent des constructions "Mixed Boolean–Arithmetic" pour brouiller la façon dont le code récupère les fonctions Windows. Au lieu d’une suite d’instructions simple et reconnaissable, ils la remplacent par un enchaînement de calculs logiques et arithmétiques (ET, OU, XOR, additions, décalages de bits) qui aboutit au même résultat, mais de manière détournée. Le malware obtient bien l’adresse de l’API dont il a besoin, cependant pour un analyste ou un outil d’analyse automatique, le code devient un puzzle difficile à simplifier et donc plus long à comprendre. Notons au passage que le programme vérifie aussi la langue et certains indicateurs de localisation pour éviter les systèmes russophones ou localisés dans un pays de l'ex-URSS.
Pour s’exécuter discrètement, le malware crée un processus defrag.exe suspendu en mémoire, injecte son propre code à l’intérieur puis reprend l’exécution, une technique connue sous le nom de "process hollowing" qui vise donc à déjouer les antivirus. Après le chiffrement, il modifie la fonction "EtwEventWrite" afin qu’elle ne produise plus d’événements, ce qui coupe la télémétrie utilisée par de nombreuses solutions de sécurité. LockBit 5.0 efface ensuite les journaux d’événements et peut se renommer, puis supprimer son exécutable.
Les développeurs ont prévu une option de "nettoyage" de l’espace disque libre : le programme crée un fichier temporaire rempli d’octets nuls jusqu’à saturation, afin de rendre plus complexe la récupération de données supprimées. Les variantes Linux et ESXi surveillent aussi la présence d’outils d’analyse et s’arrêtent dès qu’un de ces programmes est détecté. Côté infrastructure, les chercheurs ont relié une adresse IP utilisée pour les fuites de données à un serveur déjà vu dans des campagnes SmokeLoader, un malware de type backdoor, comme si ce dernier était lié à Bitlocker ou partageait son infrastructure.
Le ransomware-as-a-service est un modèle « en franchise » où les développeurs d’un rançongiciel fournissent l’outil, l’infrastructure (panneaux, sites de fuite, gestion des clés) et parfois du support à des affiliés. Ces affiliés mènent les intrusions (phishing, exploitation de failles, accès initiaux achetés), déploient le chiffrement et négocient la rançon. Les gains sont ensuite partagés selon un pourcentage défini, ce qui industrialise les attaques et augmente leur volume. Techniquement, cela se traduit souvent par un code modulaire, des builds personnalisés par campagne et des options de configuration (cibles, extensions, exclusions, vitesse).
Qu’est-ce que XChaCha20 et pourquoi l’utiliser pour chiffrer des fichiers ?XChaCha20 est un algorithme de chiffrement symétrique par flot, dérivé de ChaCha20, conçu pour être rapide et sûr sur des CPU généralistes. Son intérêt principal est l’usage d’un nonce étendu (192 bits), ce qui réduit fortement les risques de réutilisation accidentelle de nonce, un point critique pour les chiffrements par flot. Pour un rançongiciel, c’est pratique car le chiffrement est performant, se parallélise bien (multi-threads) et ne dépend pas d’instructions matérielles spécifiques. Chaque fichier peut être chiffré avec une clé différente, limitant l’impact si une clé fuit ou est devinée.
Qu’est-ce que Curve25519 dans un schéma de chiffrement hybride ?Curve25519 est une courbe elliptique utilisée pour des échanges de clés (via ECDH), très répandue car elle combine bonnes performances et propriétés de sécurité solides. Dans un chiffrement hybride, elle sert à protéger (chiffrer/encapsuler) la clé symétrique qui a servi à chiffrer le contenu du fichier. Concrètement, le contenu est chiffré vite avec une clé symétrique (ex. XChaCha20), puis cette clé est rendue inutilisable sans la clé privée des attaquants grâce à la cryptographie asymétrique. Cela empêche de retrouver la clé de déchiffrement en analysant seulement le fichier ou la machine compromise.
Qu’est-ce que le « process hollowing » ?Le process hollowing est une technique d’injection où un programme crée un processus légitime (souvent en mode suspendu), remplace son code en mémoire par celui du malware, puis relance l’exécution. L’objectif est de « se cacher » derrière l’apparence d’un exécutable connu, ce qui peut compliquer la détection basée sur le nom du processus, son chemin ou certaines heuristiques. Cette méthode joue aussi sur la confiance accordée à des binaires systèmes et sur le fait que le processus final n’a pas exactement l’image mémoire attendue. Les solutions EDR modernes tentent de le repérer via des signaux comme les écritures mémoire anormales, les sections mappées suspectes ou les incohérences entre disque et mémoire.
Qu’est-ce que ETW (Event Tracing for Windows) et pourquoi le neutraliser ?ETW est un mécanisme de traçage bas niveau de Windows qui permet de produire des événements détaillés sur l’activité du système (processus, threads, I/O, réseau, etc.). De nombreuses solutions de sécurité s’appuient sur ETW pour obtenir de la télémétrie fiable et en temps réel, utile pour détecter des comportements malveillants. Neutraliser ETW (par exemple en empêchant l’émission d’événements via certaines fonctions) réduit la visibilité des outils de surveillance et complique les investigations. Cela ne rend pas un malware invisible, mais peut faire perdre des traces cruciales et retarder la détection.
