Première grosse défaite du camp des ransomwares

Dans la newsletter d’aujourd’hui:

Pour les abonnés gratuits:

• L’édito: Première grosse défaite du camp des ransomwares

Pour les abonnés payants:

• Études: Cybermenaces et arnaque par “Elon Musk”

• La tribune: Cybersécurité dans les secteurs de la Défense et de la Sécurité Nationale : anticiper, surveiller, innover

• A ne pas manquer sur le web: Groupe de pirate informatique et Chatbot menteur

C’était il y a tout juste un an où l’on apprenait que le rançongiciel Lockbit, « promu » par un groupe de hackers russophone détrônait Conti au hit parade des malware les plus actifs. Responsable de plus d’un tiers des attaques par ransomware en 2022, il serait impliqué dans 850 attaques cette année là, + 91% par rapport à 2021. Aujourd’hui on estime que le nombre des attaques de Lockbit a dépassé le seuil des 2500. En trois ans ce malware est monté en puissance sans avoir forcément la meilleure technologie mais avec un marketing et une communication hors pair. Lockbit a ciblé en priorité l’industrie mais il s’est aussi retrouvé au cœur des attaques menées contre l’hôpital de Corbeil-Essonne. Selon les experts, ils auraient « tué la concurrence ». Et pourtant, grâce à la persévérance des enquêteurs Britanniques, Américains et… Français, par le biais d’Europol, ainsi qu’à une forte collaboration internationale de onze pays, nous apprenons cette semaine que le site principal de Lockbit ainsi que ses serveurs miroirs sont tombés. La guerre n’est pas finie mais ces victoires constituent un solide encouragement pour les forces de l’ordre et vont en partie rassurer les victimes.

Première grosse défaite du camp des ransomwares

“Nous avons le code source, les détails des victimes que vous avez attaquées, la somme d’argent extorquée, les données volées, les chats et bien plus encore. Vous pouvez remercier LockBitsupp et son infrastructure défectueuse pour cette situation... Nous pourrions vous contacter très bientôt.” Non il ne s’agit pas d’une nième tentative d’hameçonnage sur un site marchand mais bien du message qui s’affiche désormais sur la page d’accueil de la plateforme Lockbit (devenue Lockbit 3.0), lorsque l’un de ses affiliés cherche à s’y connecter. Signé des forces de l’ordre, ce message devrait réjouir les centaines de victimes du groupe de pirates qui ne cessait de monter puissance depuis la sortie du Covid. 

L’efficacité de la Gendarmerie Nationale Française saluée

Il a fallu la persévérance des enquêteurs de l’agence nationale contre le crime britannique, de ceux du FBI et de la Gendarmerie française avec Europol pour mener à son terme cette opération baptisée Cronos et qui a démarré il y a trois ans. Onze pays ont permis la chute de ce ransomware considéré par Europol comme le plus dangereux au monde. Près de 100 millions de dollars auraient été perçus auprès des victimes. A cela s’ajoute les pertes de chiffre d’affaires des entreprises piratées, des chaînes de production à l’arrêt, des services clients dégradés ou des hôpitaux -comme celui de Corbeil Essonne- qui ont dû fermer pendant plusieurs semaines certaines de leurs activités. Les premiers rapports nous apprennent que deux personnes ont été arrêtées en Pologne et en Ukraine, et des mandats d’arrêt internationaux ont été émis. 

Les forces de l’ordre détiennent le code source

Mais au-delà des arrestations et du gel de plus de 200 comptes de cryptomonnaies liés à l’organisation, le plus important porte sur la saisie des espaces numériques. 22 sites liés à LockBit auraient été détruit ou saisi, et 34 serveurs ont été démantelés. Et plus important, les autorités détiennent le code source. A partir de là, les autorités vont pouvoir remonter le fil des attaques, bloquer tout le système de négociation en ligne liées à la vente et la publication des données volées ; mettre fin à la triple-extorsion, qui inclut les méthodes traditionnelles de chiffrement de données et de menace de fuite, ainsi que les attaques par déni de service, lorsque les victimes ne payaient pas la rançon.

Ce coup de maître des autorités est également plus important qu’une simple interpellation de mafieux numériques et de la destruction de leur plateforme. Experts et consultants cyber vont ainsi pouvoir s’attarder sur les pratiques et les tactiques jusqu’alors redoutablement efficaces, mises en place par Lockbit. Ils pourront analyser en détail son programme de partenariat -largement copié par les autres groupes de hackers-. A ce jour, les enquêteurs ont révélé l’existence de 194 comptes dans le programme d’affiliation. Rappelons que cette organisation criminelle est tellement bien structurée qu’elle n’accepte de nouveaux membres qu’à partir du moment où ils ont versé 1 bitcoin de caution et passer un entretien.

Attention toutefois, tous les sites et services de la franchise mafieuse LockBit 3.0 ne sont pas tombés, et certains affidés vont certainement se tourner vers d’autres plateformes de « ransomware-as-a-service ». Il n’empêche, ce coup de filet a permis de compromettre en profondeur l’infrastructure de la franchise et les forces de l’ordre ont bon espoir de mettre la main sur les clés de déchiffrement des données des victimes. Selon les premiers éléments dévoilés, elles ont également récupéré des informations relatives à toutes les rançons payées. Elles vont ainsi pouvoir suivre les flux financiers et pourront identifier d’autres ramifications mafieuses, voire même récupérer certaines des rançons versées. 

L’enquête permettra à chacun de mieux cerner sa surface d’attaque

Voila pour les premières analyses de la situation. Par la suite, nous pouvons nous attendre à des recommandations plus ciblées aux entreprises clientes de la part des fournisseurs. Avec en premier lieu le besoin constant de mise à jour des applications web et logiciels accessibles sur internet qui restent les vecteurs principaux d’attaques devant les tentatives d’hameçonnage. Le décryptage de la stratégie de Lockbit va également permettre de comprendre comment les attaquants réussissent à voler des données aussi rapidement. Selon les experts de Palo Alto (voir chiffres et études, plus bas), il ne faut plus que 2 jours aux pirates pour accéder aux données sensibles des entreprises, contre 9 en 2021. Les hyperscalers vont aussi être très attentifs aux failles découvertes par les pirates pour pénétrer les systèmes via le cloud. Enfin, la mise à plat du site de Lockbit pourrait enfin donner raison à tous ceux qui exhortent les entreprises victimes à ne pas payer de rançon, même si elles sont par la suite exposées au harcèlement ou à la diffusion publiques de leurs données.

...