Les experts en cybersécurité de Kaspersky ont rapporté que LockBit, l’un des groupes de ransomware les plus prolifiques en activité aujourd’hui, a récemment ajouté à son arsenal une fonctionnalité multi-plateforme améliorée. LockBit s’est fait connaître en ciblant des entreprises et des organisations du monde entier, laissant dans le sillage de ses attaques d’importants ravages financiers et opérationnels. Le dernier rapport de Kaspersky illustre la détermination de LockBit à étendre sa portée et à maximiser l’impact de ses activités malveillantes.
Tribune – À ses débuts, LockBit opérait sans utiliser les portails de fuite, les méthodes de double extorsion, et l’exfiltration des données avant de chiffrer les données des victimes de ses attaques. Toutefois, le groupe n’a cessé de développer son infrastructure et ses dispositifs de sécurité pour protéger ses actifs contre diverses menaces, notamment les attaques sur ses panneaux d’administration et les attaques par déni de service distribué (DDoS).
Les chercheurs en cybersécurité ont observé que LockBit adopte le code d’autres groupes de ransomware bien connus, tels que BlackMatter et DarkSide. Cette stratégie permet non seulement de simplifier les opérations pour les affiliés potentiels, mais aussi d’élargir la gamme des vecteurs d’attaque employés par LockBit. Les récentes découvertes de l’équipe Kaspersky Threat Attribution Engine (KTAE) ont permis de découvrir que LockBit a incorporé environ 25 % du code précédemment utilisé par Conti, groupe de ransomware aujourd’hui disparu, ce qui a donné naissance à une nouvelle version du ransomware, connue sous le nom de LockBit Green.
Les chercheurs de Kaspersky ont découvert un fichier ZIP contenant des échantillons de LockBit spécifiquement adaptés à plusieurs architectures, notamment Apple M1, ARM v6, ARM v7, FreeBSD, etc. Après une analyse et une enquête approfondie menée avec l’équipe KTAE, ils ont confirmé que ces échantillons provenaient de la version Linux/ESXi de LockBit observée précédemment.