Le ransomware LockBit recrute des initiés pour pénétrer les réseaux d’entreprise

0

Le gang de ransomware LockBit 2.0 recrute activement des initiés dans les entreprises pour les aider à pénétrer et chiffrer les réseaux. En retour, l’initié se voit promettre des paiements d’un million de dollars.

De nombreux gangs de ransomware fonctionnent comme un Ransomware-as-a-Service, qui se compose d’un groupe central de développeurs, qui gèrent les sites de ransomware et de paiement, et ont recruté des affiliés qui pénètrent les réseaux des victimes et chiffrent les appareils.

Tous les paiements de rançon effectués par les victimes sont ensuite répartis entre le groupe central et l’affilié, l’affilié recevant généralement 70 à 80 % du montant total.

Cependant, dans de nombreux cas, les affiliés achètent l’accès aux réseaux d’autres pentesters tiers plutôt que de violer l’entreprise eux-mêmes.

Avec LockBit 2.0, le gang de ransomware essaie de supprimer l’intermédiaire et de recruter à la place des initiés pour leur donner accès à un réseau d’entreprise.

LockBit 2.0 promet des millions de dollars aux initiés

En juin, l’opération de ransomware LockBit a annoncé le lancement de son nouveau ransomware LockBit 2.0 en tant que service.

Cette relance incluait des sites Tor repensés et de nombreuses fonctionnalités avancées, notamment le chiffrement automatique des appareils sur un réseau via des politiques de groupe.

Avec cette relance, LockBit a également modifié le fond d’écran Windows placé sur les appareils cryptés pour offrir « des millions de dollars » aux initiés des entreprises qui donnent accès aux réseaux où ils ont un compte.

lockbit 2.0
Nouveau fond d’écran LockBit 2.0 recrutant des initiés

Le texte intégral, avec les informations de contact rédigées, explique que LockBit recherche des informations d’identification RDP, VPN et de messagerie d’entreprise qu’ils peuvent ensuite utiliser pour accéder au réseau.

Le gang du ransomware dit également qu’il enverra à l’initié un « virus » qui devrait être exécuté sur un ordinateur, susceptible de donner au gang du ransomware un accès à distance au réseau.

« Voudriez-vous gagner des millions de dollars ? Notre société a accès aux réseaux de diverses sociétés, ainsi qu’à des informations privilégiées qui peuvent vous aider à voler les données les plus précieuses de toute société. Vous pouvez nous fournir des données comptables pour l’accès à n’importe quelle entreprise, par exemple, login et mot de passe pour RDP, VPN, e-mail d’entreprise, etc. Ouvrez notre lettre dans votre e-mail.

Lancez le virus fourni sur n’importe quel ordinateur de votre entreprise. Les entreprises nous paient pour le décryptage des fichiers et la prévention des fuites de données. Vous pouvez communiquer avec nous via la messagerie Tox https://tox.chat/download.html En utilisant Tox Messenger, nous ne connaîtrons jamais votre vrai nom, cela signifie que votre vie privée est garantie. Si vous souhaitez nous contacter, utilisez ToxID : xxxx »

Lorsque nous avons vu ce message pour la première fois, il nous a semblé contre-intuitif de recruter un initié pour un réseau déjà violé.

Cependant, ce message cible probablement des consultants informatiques externes qui peuvent voir le message en répondant à une attaque.

Bien que cette tactique puisse sembler farfelue, ce n’est pas la première fois que des individus malveillants tentent de recruter un employé pour chiffrer le réseau de leur entreprise.

En août 2020, le FBI a arrêté un ressortissant russe pour avoir tenté de recruter un employé de Tesla pour implanter des logiciels malveillants sur le réseau de la Gigafactory de Tesla dans l’Etat du Nevada.

Laisser un commentaire