Un avis conjoint sur la cybersécurité met en garde contre la menace du ransomware LockBit
L'agence américaine de cybersécurité et de sécurité des infrastructures (CISA), le FBI, le centre multiétatique de partage et d'analyse de l'information (MS-ISAC) et les autorités chargées de la cybersécurité en Australie, au Canada, au Royaume-Uni, en Allemagne, en France et en Nouvelle-Zélande ont émis un avis de cybersécurité concernant le ransomware LockBit.
L'avis commun, intitulé "Understanding Ransomware Threat Actors : LockBit", comprend une liste d'une trentaine de logiciels gratuits et de technologies libres fréquemment utilisés par les acteurs de LockBit. Il décrit également plus de 40 tactiques, méthodes et procédures (TTP) utilisées par les acteurs de LockBit, en les mettant en correspondance avec la méthodologie ATT&CK bien connue de MITRE, ainsi qu'avec les vulnérabilités et expositions couramment exploitées (CVE).
L'avertissement contient des informations sur la progression de LockBit RaaS (Ransomware as a Service) ainsi que des tendances et des données mondiales. Il fournit une série d'outils et de services accessibles depuis les organismes auteurs, ainsi que des mesures d'atténuation conseillées pour renforcer les défenses contre les opérations mondiales de LockBit. Elle confirme les conclusions de Malwarebytes, identifiant LockBit comme l'opérateur de Ransomware-as-a-Service le plus actif. Les évaluations régulières de Malwarebytes Ransomware Reviews placent généralement LockBit en tête des menaces en termes de nombre de victimes, mais Cl0p apparaît comme un concurrent proche.
Selon l'avis, LockBit a été l'un des groupes de ransomware les plus actifs ces derniers mois. En 2022, il était responsable de plus de 18 % des incidents de ransomware signalés en Australie, de 22 % au Canada et de 23 % en Nouvelle-Zélande. Aux États-Unis, LockBit a été impliqué dans 16 % des attaques contre des services critiques, notamment des administrations municipales et de comté, des établissements publics d'enseignement supérieur, des écoles primaires et secondaires et des organismes chargés de l'application de la loi.
Par conséquent, les tactiques, méthodes et procédures (TTP) utilisées par les affiliés de LockBit varient considérablement en raison de leur nature décentralisée et déconnectée. Cette hétérogénéité représente un défi de taille pour les entreprises qui tentent de maintenir une sécurité réseau efficace et de se protéger contre la menace multidimensionnelle des ransomwares posée par LockBit. L'avis aborde également les mécanismes complexes de la confiance dans le paradigme RaaS. Travailler avec des criminels anonymes nécessite un niveau élevé de confiance mutuelle, ce qui peut expliquer pourquoi d'autres opérateurs RaaS, tels que DarkSide et Avaddon, ont fermé leurs portes.
Les sources de cet article comprennent un article de Malwarebytes.