La résilience du groupe cybercriminel LockBit se confirme avec la découverte d’une nouvelle version du ransomware : LockBit 5.0. Le rançongiciel serait encore plus dangereux, et toujours capable de cibler Windows, Linux et les infrastructures de virtualisation VMware ESXi.
LockBit 5.0 : une menace cross-platform
LockBit 5.0, c’est la dernière itération de ce redoutable ransomware qui fait suite à la version LockBit 4.0 repérée initialement en décembre 2024. Fidèle à ses habitudes depuis la version 2.0 (2021), le ransomware LockBit a toujours la volonté de cibler simultanément tous les systèmes d’une entreprise : postes de travail, serveurs de fichiers et environnements virtualisés. Comme le rapporte Trend Micro, la version LockBit 5.0 a été lancée début septembre à l’occasion du 6ème anniversaire du gang de ransomware.
“Trend Research a découvert un binaire disponible dans la nature et a entamé une analyse qui a d’abord permis de découvrir une variante Windows, puis de confirmer l’existence de variantes Linux et ESXi de LockBit 5.0.”, peut-on lire.
Vous l’aurez compris, LockBit 5.0 peut chiffrer les données de machines sous Windows, Linux, ou VMware ESXi, grâce à différentes variantes. De quoi s’en prendre à la grande majorité des machines connectées au réseau d’une entreprise.
“Cela permet des attaques simultanées sur l’ensemble des réseaux d’entreprise, des postes de travail aux serveurs critiques hébergeant des bases de données et des plates-formes de virtualisation, la variante ESXi étant conçue pour paralyser des infrastructures virtuelles entières.”, alertent les chercheurs de Trend Micro.
La variante Windows de LockBit 5.0 mise sur une obfuscation et un compactage avancés, notamment en injectant la charge utile via la réflexion DLL, ce qui complique fortement l’analyse statique. Elle embarque également des techniques anti-analyse avancées. Du côté de la variante Linux, on retrouve des capacités similaires, avec en plus des options en ligne de commande permettant de cibler des répertoires ou types de fichiers spécifiques. Quant à la variante ESXi, elle a été conçue pour chiffrer l’ensemble des machines virtuelles exécutées sur l’hyperviseur.
Il est à noter que toutes ces variantes partagent des caractéristiques communes qui compliquent la détection et la réponse post-incident :
Des extensions de fichiers aléatoires de 16 caractères,
La suppression des journaux d’événements de la machine, après l’opération de chiffrement,
L’exclusion des en langue russe.
LockBit 5.0, toujours un RaaS
L’analyse technique menée par l’équipe de Trend Research révèle que LockBit 5.0 n’est pas synonyme de refonte totale, mais une “évolution” de la version 4.0. Le code source présente de nombreuses similitudes, notamment en ce qui concerne les algorithmes de hachage et les méthodes de résolution d’API.
Malheureusement, le groupe de cybercriminels semble bien décidé à diffuser son logiciel malveillant selon un modèle de Ransomware-as-a-Service (RaaS), à l’origine de sa notoriété et de son activité particulièrement intense. Même si les autorités perturbent régulièrement les activités de LockBit (notamment avec l’opération Cronos), ce groupe de cybercriminels parvient toujours à revenir sur le devant de la scène. Pour les entreprises, il est important de prendre connaissance de l’existence de LockBit 5.0, tant ce ransomware a fait du mal ces dernières années…
Les chercheurs de Trend Micro estiment que LockBit 5.0 est nettement plus dangereux que les précédentes versions : “L’obfuscation important de ces nouvelles variantes retarde considérablement le développement des signatures de détection, tandis que les améliorations techniques, notamment la suppression des marqueurs d’infection, le chiffrement plus rapide et l’évasion améliorée, rendent LockBit 5.0 nettement plus dangereux que ses prédécesseurs.”
Source
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.