LockBit affirme avoir compromis 40 organisations dans le monde au cours du mois dernier.
Alors que la Royal Mail du Royaume-Uni est aux prises avec les retombées d’une attaque par ransomware, un membre présumé du groupe de pirates LockBit s’est manifesté ce week-end pour s’attribuer le mérite de ce désastre.
LockBit n’a pas chômé : au cours du mois dernier, il a prétendu avoir compromis 40 organisations, d’une école privée en Malaisie à un groupe dentaire à Sydney, ce qui lui a permis de devenir le groupe de ransomware le plus prolifique au monde.
Le groupe avait déjà frappé la City de Londres, prenant au piège Kingfisher Insurance en octobre 2022. Mais Royal Mail, qui fait partie d’une entreprise de livraison de 2,2 milliards de livres sterling, était sa plus grande cible jusqu’à présent : une partie cruciale de l’infrastructure critique du Royaume-Uni qui s’est soudainement retrouvée incapable d’envoyer du courrier en dehors des îles britanniques.
Les projecteurs – tant des gangs de pirates rivaux que des autorités britanniques – étaient enfin braqués sur LockBit.
« Les gars, vous pouvez vous calmer », dit le message anonyme, en révélant qu’un affilié de LockBit était à l’origine de l’attaque, réalisée dans un forum privé et partagée avec le Financial Times par un chercheur en sécurité.
Selon le message, le piratage a été réalisé par un membre d’élite du top 10 du gang tentaculaire de LockBit, spécialisé dans les tâches importantes que sont le décryptage et la suppression des données volées après le versement de la rançon.
Royal Mail n’a pas encore confirmé officiellement que LockBit a violé ses cyberdéfenses, crypté ses données et en demande maintenant la rançon. L’entreprise a refusé de préciser si elle négociait avec les pirates ou combien de temps elle s’attendait à ce que la perturbation dure.
Au cours d’une audition parlementaire mardi, le directeur général de Royal Mail, Simon Thompson, a déclaré aux députés qu’il avait été informé « que discuter des détails les plus fins … serait en fait préjudiciable ».
L’interruption des livraisons internationales pendant une semaine fait suite à 18 jours de grève au cours des cinq derniers mois, ce qui accroît la pression sur Royal Mail pour résoudre la situation. Mais elle est confrontée à une version évoluée de la menace du ransomware – les chercheurs en sécurité décrivent LockBit comme la bande la plus professionnelle et la plus efficace au monde.
Au cours de l’année écoulée, les « pères fondateurs » du groupe ont profité de l’éclatement d’un rival pour s’accaparer des parts de marché, publié de nouvelles versions de leurs logiciels malveillants (LockBit 3.0) qui automatisent les tâches les plus élémentaires, organisé des opérations de marketing (1 000 dollars pour un tatouage au nom du groupe) et donné à leurs cibles des conseils francs sur la manière de se défendre (consacrez 10 % de votre budget à la cybersécurité, appliquez des correctifs à vos ordinateurs et faites appel à une personne extérieure pour tester les faiblesses).
L’efficacité du groupe a fait des ravages dans le monde entier, LockBit représentant un peu plus d’un quart de toutes les attaques de ransomware connues en 2022, selon la société de sécurité israélienne CyberInt.
C’est un signe avant-coureur du pire : désormais profondément ancré dans le secteur des ransomwares, le groupe est sur le point de devenir plus omniprésent.
Il a largement remplacé les pirates russes de Conti, aujourd’hui dissous, qui ont engrangé environ 3 milliards de dollars pendant leurs beaux jours de 2020-2021, selon les estimations de CyberInt, avant d’être trahis par un initié ukrainien en désaccord avec la politique pro-russe du groupe.
« LockBit se gère bien mieux que beaucoup d’entreprises légitimes – ils sont professionnels, ils soignent leurs relations publiques, ils se concentrent sur leur produit, leur activité, ils se tiennent à l’écart de la politique », a déclaré Shmuel Gihon, chercheur en sécurité chez CyberInt qui a suivi le groupe de près.
« Ils se présentent comme une organisation qui ne peut pas être ignorée – à cette échelle, ils seront partout, et il n’y a pas grand-chose à faire contre cela. »
Le groupe fonctionne sur le modèle du « Ransomware As a Service », louant ses logiciels malveillants et fournissant une assistance technique à des « affiliés » éloignés qui se chargent de la tâche fastidieuse de pénétrer dans les réseaux d’une cible et d’y implanter le logiciel malveillant LockBit.
À peu près à ce moment-là, des membres expérimentés du groupe prennent le relais et assument les tâches plus complexes consistant à infiltrer des zones plus sécurisées du réseau de la cible, à identifier les fichiers les plus importants à crypter, puis à encadrer, voire à mener, les négociations relatives au rançongiciel.
Au final, ils prennent une commission, qui peut souvent atteindre 20 %.
LockBit, comme de nombreux autres groupes de ransomware, serait situé en Russie et dans les pays voisins, où les autorités sont peu susceptibles d’enquêter, et encore moins d’extrader, les membres essentiels de ces groupes.
Simon Thompson, directeur général de Royal Mail, s’adresse au Parlement © Parliament TV
En novembre, les autorités américaines ont inculpé un Russe et un Canadien à la double nationalité en tant que membre de LockBit, en invoquant sa présence sur un forum privé qui fournissait des conseils techniques et des conseils sur la négociation de rançons, et sa possession d’une fraction de bitcoin faisant partie d’une rançon versée quelques heures plus tôt. Il est la seule personne connue à avoir été arrêtée ou inculpée pour son travail présumé avec LockBit.
À l’époque, le FBI estimait que LockBit avait demandé plus de 100 millions de dollars de rançon, ce qui, selon les chercheurs en sécurité, est probablement un sous-dénombrement. Les attaques réussies de ransomware sont rarement rendues publiques, un fait que LockBit présente comme faisant partie de son attrait, permettant aux entreprises d’éviter l’embarras et l’examen minutieux d’avoir été piratées.
À moins que Royal Mail ne paie la rançon, ce qui est une voie juridiquement douteuse, des semaines, voire des mois de perturbations sont à prévoir, a déclaré Hanah Darley, responsable de la recherche sur les menaces chez Darktrace.
Dans des situations comme celle-ci, se remettre de l’attaque prend dans « le meilleur des cas, des jours ou des semaines, et dans le pire des cas, des semaines et des mois », a-t-elle dit. « C’est comme un effet d’entraînement – vous voyez des impacts ultérieurs que vous découvrirez au fil du temps ».
Le directeur général de Royal Mail, Simon Thompson, a déclaré au Parlement mardi qu’il explorait des « solutions de rechange » pour rétablir les services, les résidents et les entreprises britanniques ne pouvant toujours pas envoyer de lettres ou de colis à l’étranger.
Pour les infrastructures critiques telles que Royal Mail, le processus de récupération des pirates est éreintant, a déclaré Darley : « Vous ne pouvez pas vraiment vous déconnecter et réparer ce que vous devez réparer – vous devez toujours maintenir les opérations critiques. »
–
SEO INSIDE est une agence SEO (notamment…).
--
SEO Inside est une agence web et SEO - en savoir plus sur nous:
Agence web / Audit SEO / Conseil SEO / Création de site internet / Refonte de site internet optimisé pour le SEO / Référencement naturel / Référencement local /Netlinking / Formation SEO / E-Réputation et avis
Voici nos implantations :
Lille / Dunkerque / Amiens – ce sont nos 3 bureaux historiques.
Puis voici nos zones géographiques d’intervention :
Paris / Abbeville / Rouen / Compiègne / Reims / Metz / Caen / Evreux / Nancy / Colmar / Rennes / Le Mans / Orléans / Dijon / Besançon / Angers / Nantes / La Rochelle / Poitiers / Limoges /Clermont-Ferrand / Lyon / Annecy / Grenoble / Valence / Bordeaux / Montauban / Toulouse / Biarritz / Montpellier / Marseille / Cannes / Nice / Avignon / Monaco
SEO INSIDE est une agence web spécialiste en référencement naturel qui se veut proche de vous. Contactez-nous pour discuter de vos projets.
