LockBit revient à l’offensive avec une version 5.0 de son rançongiciel capable de frapper aussi bien les postes Windows que les serveurs Linux ou ESXi. Le groupe mise toujours sur son modèle "ransomware-as-a-service", en fournissant l’outil à des affiliés qui mènent leurs propres campagnes d’attaque.
Le groupe de hackers LockBit ne cesse de revenir. Nous avions d'ailleurs suivi le démantèlement partiel de son infrastructure lors de l’opération Cronos. Le groupe a ensuite noué des alliances avec d’autres groupes comme Qilin et DragonForce.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
LockBit 5.0, un même noyau mais des cibles plus larges
Selon les experts d’Acronis, LockBit 5.0 reste largement basé sur le noyau de la version 4.0, avec les mêmes briques de chiffrement, mais le ransomware gagne en modularité et en vitesse. Le malware fonctionne sur Windows, Linux et ESXi, ce qui lui permet donc de viser à la fois les postes des employés, les serveurs, ainsi que les infrastructures de virtualisation. Les opérateurs revendiquent en particulier la prise en charge de toutes les versions de Proxmox, une solution de virtualisation open source répandue dans les entreprises et les hébergeurs.
Le mécanisme de chiffrement repose sur l’algorithme XChaCha20 pour verrouiller le contenu des fichiers de la victime, avec pour chaque élément une clé unique. Cette clé est ensuite chiffrée via Curve25519, une forme de cryptographie asymétrique. Concrètement, LockBit 5.0 parcourt les dossiers, chiffre les fichiers en parallèle via plusieurs threads, ajoute un bloc de métadonnées en fin de fichier (taille d’origine, clé chiffrée) et applique une extension aléatoire de 16 caractères, tout en déposant une note de rançon dans chaque répertoire.
La version Linux permet de régler le pourcentage de chaque fichier à chiffrer. Pourquoi ? Tout simplement pour gagner du temps tout en rendant les documents inutilisables. Sur ESXi, le binaire commence par vérifier, via la commande "vmware -v", qu’il tourne bien sur un hyperviseur VMware avant de cibler les fichiers des machines virtuelles dans le répertoire "/vmfs/". Il peut aussi arrêter des VM, ignorer certains identifiants et se dupliquer via fork pour continuer à chiffrer en tâche de fond.
Un ransomware qui devient de plus en plus complexe
Sur Windows, LockBit 5.0 déploie diverses méthodes d'évasion pour ralentir les analystes et passer outre les outils de sécurité. Le binaire 64 bits est compressé, présente un faux certificat expiré au nom de BorgWarner et masque la quasi-totalité de ses appels d’API. Les développeurs utilisent des constructions "Mixed Boolean–Arithmetic" pour brouiller la façon dont le code récupère les fonctions Windows. Au lieu d’une suite d’instructions simple et reconnaissable, ils la remplacent par un enchaînement de calculs logiques et arithmétiques (ET, OU, XOR, additions, décalages de bits) qui aboutit au même résultat, mais de manière détournée. Le malware obtient bien l’adresse de l’API dont il a besoin, cependant pour un analyste ou un outil d’analyse automatique, le code devient un puzzle difficile à simplifier et donc plus long à comprendre. Notons au passage que le programme vérifie aussi la langue et certains indicateurs de localisation pour éviter les systèmes russophones ou localisés dans un pays de l'ex-URSS.
Pour s’exécuter discrètement, le malware crée un processus defrag.exe suspendu en mémoire, injecte son propre code à l’intérieur puis reprend l’exécution, une technique connue sous le nom de "process hollowing" qui vise donc à déjouer les antivirus. Après le chiffrement, il modifie la fonction "EtwEventWrite" afin qu’elle ne produise plus d’événements, ce qui coupe la télémétrie utilisée par de nombreuses solutions de sécurité. LockBit 5.0 efface ensuite les journaux d’événements et peut se renommer, puis supprimer son exécutable.
Les développeurs ont prévu une option de "nettoyage" de l’espace disque libre : le programme crée un fichier temporaire rempli d’octets nuls jusqu’à saturation, afin de rendre plus complexe la récupération de données supprimées. Les variantes Linux et ESXi surveillent aussi la présence d’outils d’analyse et s’arrêtent dès qu’un de ces programmes est détecté. Côté infrastructure, les chercheurs ont relié une adresse IP utilisée pour les fuites de données à un serveur déjà vu dans des campagnes SmokeLoader, un malware de type backdoor, comme si ce dernier était lié à Bitlocker ou partageait son infrastructure.
