Le groupe cybercriminal connu sous le nom de Lockbit a publié une version améliorée de 5,0 de son ransomware (Lockbit 5.0), qui est «beaucoup plus dangereuse», prévient Trend Micro. Le malware attaque désormais simultanément les environnements Windows, Linux et VMware ESXi.
Grâce aux nouvelles techniques d’obscurcissement, telles que la réflexion DLL dans Windows et l’emballage agressif, Lockbit 5.0 évoque des solutions de sécurité connues. La version Linux permet des attaques précises sur des répertoires et des types de fichiers via des lignes de commande. Avec VMware ESXi, les logiciels malveillants chiffrent les machines virtuelles, qui peuvent paralyser des infrastructures entières. Une extension de fichier aléatoire à 16 chiffres rend difficile la récupération des données cryptées.
Trend Micro explique:
Avec Lockbit poursuivant une stratégie de ransomware multiplateforme, l’architecture modulaire et les routines de chiffrement secrètes menacent désormais des postes de travail, des serveurs et des hyperviseurs (moniteurs de machines virtuelles). «Aucun système ou plate-forme d’exploitation ne peut être considéré comme à l’abri des campagnes de ransomwares modernes», souligne Trend Micro.
Malgré l’opération Cronos, qui a eu lieu en 2024 et a vu les autorités de 10 pays confisquer les serveurs et les clés de Lockbit, Lockbit continue de montrer de la résilience. Les trois variantes de Lockbit sont toujours actives, ce qui fait du groupe l’un des plus dangereux en ce moment.
Les entreprises devraient prendre des mesures complètes pour se prémunir contre les ransomwares, y compris les sauvegardes de données régulières, la sécurité des points finaux et la protection spéciale des infrastructures de virtualisation. Les dommages aux ransomwares pourraient impliquer tout, de la perte de données aux arrêts critiques du système.
