Netcrook Logo
đŸ‘€ TRUSTBREAKER
đŸ—“ïž 25 Feb 2026   đŸ—‚ïž Cyber Warfare    

La revanche de LockBit : un serveur Apache ActiveMQ non corrigé ouvre la porte à une déferlante de ransomware

Sous-titre : Un attaquant persistant a exploité une vulnérabilité Java négligée - à deux reprises - pour déchaßner le ransomware LockBit via RDP, révélant des failles critiques dans la défense cyber.

Tout a commencĂ© comme une intrusion ordinaire : un serveur vulnĂ©rable, un hacker ingĂ©nieux, et une brĂšche apparemment contenue. Mais lorsque l’attaquant est revenu prĂšs de trois semaines plus tard - muni d’identifiants volĂ©s et d’un nouveau plan - l’organisation s’est retrouvĂ©e Ă  la merci du ransomware LockBit. Voici l’histoire de la façon dont un serveur Apache ActiveMQ non corrigĂ© est devenu l’épicentre d’une cyberattaque dĂ©vastatrice, transformant un simple oubli en laissez-passer illimitĂ© pour les cybercriminels.

En bref

  • Les attaquants ont exploitĂ© la CVE-2023-46604 dans Apache ActiveMQ pour obtenir un accĂšs initial.
  • Bien qu’expulsĂ©, le mĂȘme acteur malveillant a compromis Ă  nouveau le serveur aprĂšs 18 jours.
  • Des identifiants volĂ©s ont permis un accĂšs Remote Desktop Protocol (RDP) et le dĂ©ploiement du ransomware LockBit.
  • L’outil d’accĂšs Ă  distance AnyDesk a Ă©tĂ© installĂ© pour la persistance ; le ransomware s’est propagĂ© via RDP et SMB.
  • La note de rançon demandait aux victimes d’utiliser la messagerie Session, dĂ©rogeant Ă  la mĂ©thode d’extorsion habituelle de LockBit basĂ©e sur Tor.

Au cƓur de l’attaque : de l’exploitation à l’extorsion

En fĂ©vrier 2024, des acteurs malveillants ont ciblĂ© un serveur Apache ActiveMQ exposĂ© sur Internet, toujours vulnĂ©rable Ă  la dĂ©sormais tristement cĂ©lĂšbre CVE-2023-46604. Exploitant cette faille, ils ont tĂ©lĂ©chargĂ© un fichier de configuration XML malveillant via une classe Java Spring. Ce fichier utilisait l’outil Windows CertUtil pour rĂ©cupĂ©rer et exĂ©cuter un stager Metasploit - offrant Ă  l’intrus des privilĂšges SYSTEM quasi instantanĂ©ment.

Les attaquants n’ont pas perdu de temps. GrĂące Ă  leurs accĂšs Ă©levĂ©s, ils ont explorĂ© le rĂ©seau, utilisant le trafic SMB et des charges utiles Metasploit pour rebondir sur d’autres machines. Ils ont ciblĂ© le processus LSASS, extrayant des identifiants sensibles qui deviendraient plus tard leurs clĂ©s du royaume.

Bien qu’ils aient Ă©tĂ© dĂ©tectĂ©s et expulsĂ©s, les attaquants n’en avaient pas fini. Dix-huit jours aprĂšs leur premiĂšre intrusion, ils ont exploitĂ© le mĂȘme serveur non corrigĂ© - prouvant que l’éviction sans remĂ©diation n’est qu’un simple sursis. Cette fois, ils ont utilisĂ© leurs identifiants volĂ©s pour se connecter Ă  plusieurs serveurs via RDP, y compris les systĂšmes de sauvegarde et de fichiers critiques.

Avec un accÚs persistant établi grùce à AnyDesk, les attaquants ont déployé manuellement le ransomware LockBit (LB3_pass.exe et LB3.exe) lors de sessions RDP actives. Le ransomware a balayé le réseau, chiffrant les fichiers et laissant des notes de rançon avec une particularité : au lieu du site de fuite Tor habituel, les victimes étaient invitées à initier le contact via la messagerie Session.

L’attaque n’a durĂ© que quatre heures, mais son impact a Ă©tĂ© dĂ©vastateur. L’utilisation d’un builder LockBit divulguĂ© a soulignĂ© la professionnalisation des opĂ©rations de ransomware. Pour les dĂ©fenseurs, le message est clair : corriger les vulnĂ©rabilitĂ©s connues et sĂ©curiser l’accĂšs Ă  distance sont des impĂ©ratifs dans le paysage actuel des menaces.

Conclusion

Ce cas est un rappel brutal : les cybercriminels n’ont pas besoin d’une seconde invitation. Une vulnĂ©rabilitĂ© non corrigĂ©e peut servir de porte tournante pour les attaquants, avec des consĂ©quences potentiellement catastrophiques. Les organisations doivent considĂ©rer la gestion des correctifs et la sĂ©curitĂ© de l’accĂšs Ă  distance comme des prioritĂ©s absolues - car la prochaine campagne LockBit pourrait n’ĂȘtre qu’à un clic.

WIKICROOK

  • CVE : CVE, ou Common Vulnerabilities and Exposures, est un systĂšme permettant d’identifier et de suivre de maniĂšre unique les failles de cybersĂ©curitĂ© connues publiquement dans les logiciels et matĂ©riels.
  • Metasploit stager : Un stager Metasploit est une petite charge utile qui ouvre une porte dĂ©robĂ©e, permettant le tĂ©lĂ©chargement et l’exĂ©cution d’un kit d’attaque plus volumineux sur un systĂšme cible.
  • LSASS : LSASS est un processus Windows qui gĂšre les politiques de sĂ©curitĂ© et les identifiants, ce qui en fait une cible courante pour les attaquants cherchant Ă  voler des informations utilisateur.
  • SMB : SMB est un protocole utilisĂ© pour partager des fichiers, des imprimantes et des ressources entre ordinateurs sur un rĂ©seau, couramment utilisĂ© dans les environnements Windows.
  • AnyDesk : AnyDesk est un outil de bureau Ă  distance permettant d’accĂ©der et de contrĂŽler des ordinateurs Ă  distance, utile pour le support mais parfois exploitĂ© par des cybercriminels.
LockBit ransomware Apache ActiveMQ cyberattack
TRUSTBREAKER TRUSTBREAKER
Zero-Trust Validation Specialist
← Back to news