L’agence américaine CISA décrit le fonctionnement du rançongiciel LockBit et explique pourquoi les Russes ne seraient jamais victimes de hackers, tandis que dans le même temps, la grande majorité des serveurs du groupe de pirates LockBit ont disparu.
Les agences gouvernementales américaines, y compris le FBI, la Cybersecurity and Infrastructure Security Agency (CISA) et le centre d’échange et d’analyse d’informations (MS-ISAC), ont publié un bulletin conjoint sur la cybersécurité qui détaille les indicateurs de compromission (IoC) et les tactiques, techniques et procédures (TTP) du rançongiciel LockBit 3.0.
Cette information est importante pour la lutte contre les attaques de ransomwares et pourrait aider à limiter les dégâts causés par LockBit. En effet, le FBI et la CISA publient régulièrement ce type de document lorsqu’ils ont des informations pertinentes à partager avec le public. Ils le font aussi, quand la fin d’un groupe est proche.
Depuis sa création, le 3 septembre 2019, les pirates derrière LockBit ont publié deux versions de leur rançongiciel, LockBit 2.0 (également connu sous le nom de LockBit Red) en 2021, et LockBit 3.0 (également connu sous le nom de LockBit Black) en 2022. Le rançongiciel est conçu pour ne pas infecter les ordinateurs configurés avec les paramètres de langue suivants : roumain (Moldavie), arabe (Syrie) et tatar (Russie). Les pirates utilisent plusieurs méthodes pour accéder initialement aux réseaux des victimes, notamment via le protocole RDP, les campagnes de phishing, l’abus de comptes valides et l’utilisation d’applications publiques comme outil de piratage.