ClickCease Le verrouillage de Lockbit : La chute d'un cartel de ransomware

Rejoignez notre populaire bulletin d'information

Rejoignez plus de 4 500 professionnels de Linux et de l'Open Source!

2 fois par mois. Pas de spam.

Le verrouillage de Lockbit : La chute d'un cartel de ransomware

par Joao Correia

28 février 2024 - Évangéliste technique

À l'heure où j'écris ces lignes, une bombe de cybersécurité vient de faire parler d'elle et, pour une fois, il s'agit d'un événement positif. Il s'agit de l'opération Cronos, une opération internationale d'application de la loi qui a permis de saisir l'infrastructure du ransomware Lockbit, d'arrêter des personnes affiliées à l'organisation criminelle et de publier un outil officiel de décryptage des fichiers cryptés par Lockbit.

 

 

La scène des ransomwares

 

 

Le ransomware est l'un des types de logiciels malveillants les plus insidieux, dans lequel un acteur malveillant déploie - par le biais de différentes méthodes - un logiciel spécifiquement conçu pour chiffrer les fichiers stockés dans un système cible, les rendant inutilisables jusqu'à ce que l'organisation ou la personne victime accepte de payer une "rançon" pour restaurer l'accès à ces fichiers.

N'oubliez pas que le fait d'accepter de payer la rançon ne signifie pas nécessairement que vous récupérerez l'accès à vos fichiers - il n'y a pas d'honneur chez les voleurs, comme le dit l'adage - et que vous serez considéré comme une victime consentante, mûre pour la prochaine tentative d'extorsion.

En outre, comme si cela ne suffisait pas, les opérateurs de ransomware emploient désormais une tactique d'extorsion double : vous payez d'abord pour retrouver l'accès à vos propres données, puis vous êtes "invité" à payer pour empêcher que les données que l'acteur malveillant a exfiltrées avant le chiffrement ne soient diffusées en ligne. La propriété intellectuelle, les secrets commerciaux, les accords confidentiels et les informations personnelles identifiables sont autant de cibles pour ces individus et groupes peu scrupuleux.

En fait, les tactiques sont si efficaces que les groupes axés sur les ransomwares exploitent désormais de grandes organisations semblables à des entreprises et ont développé un modèle économique complet autour du "Ransomware-as-a-Service", dans lequel ils fournissent leur infrastructure et leur logiciel à des "affiliés" qui trouvent et frappent ensuite les organisations cibles, en donnant une part (environ 30 %) à l'organisation du ransomware, qui procède au blanchiment de l'argent du paiement de la rançon. 

Jusqu'à l'année dernière, il y avait trois acteurs majeurs dans le domaine des ransomwares : AlphV/Blackcat, Conti et Lockbit. Les deux premiers ont été ciblés par les forces de l'ordre au cours du second semestre 2023 et, s'ils n'ont pas été complètement éliminés, leur capacité à poursuivre leurs activités a été fortement réduite.

Lockbit a été touché cette semaine.

 

Locking Up Lockbit

 

 

L'opération Lockbit, baptisée "Operation Cronos", marque une étape importante dans la lutte contre les ransomwares. Cette opération, à laquelle participent plusieurs organismes internationaux chargés de l'application de la loi, dont la National Crime Agency (NCA) du Royaume-Uni et le FBI, et qui est coordonnée au niveau transfrontalier par Europol et Eurojust, illustre la puissance de la coopération internationale dans la lutte contre les entreprises cybercriminelles.

Les récentes annonces des services de police ont mis en lumière les détails complexes des opérations de Lockbit, depuis leurs pratiques en matière de crypto-monnaie et de blanchiment d'argent jusqu'à leur savoir-faire avancé et l'infrastructure utilisée pour soutenir leurs affiliés. Ces révélations fournissent des informations précieuses sur le fonctionnement des gangs de ransomwares modernes et mettent en lumière les défis auxquels sont confrontés les professionnels de la cybersécurité aujourd'hui.

 

 

Une attaque coordonnée contre la cybercriminalité

 

 

Les arrestations en Pologne et en Ukraine, ainsi que la saisie de plus de 200 portefeuilles de crypto-monnaie, démontrent l'efficacité de la riposte contre les cybercriminels. En infiltrant les serveurs du gang Lockbit, les autorités ont pu démanteler une partie importante de l'infrastructure du ransomware, paralysant ses opérations et soulageant d'innombrables victimes potentielles.

En outre, la collaboration entre les services répressifs et les entreprises de cybersécurité, telles que SecureWorks et TrendMicro, a permis d'analyser les tactiques de Lockbit et les futures itérations de son ransomware. Ce partenariat a non seulement facilité le démantèlement, mais il a également permis la publication d'un outil de décryptage de Lockbit, offrant ainsi une bouée de sauvetage aux entités touchées.

En fait, la publication de l'outil de décryptage renforce un point longtemps défendu lors d'un incident de ransomware : conserver les données cryptées aussi longtemps que possible. Plusieurs opérations menées par le passé ont permis de découvrir les clés privées utilisées pour crypter les données et ont été mises à la disposition du public. ont été mises à la disposition du public. Si vous êtes en mesure d'attendre - c'est-à-dire si les données cryptées ne sont pas immédiatement nécessaires - cette stratégie d'attente est à la fois moins coûteuse et potentiellement plus sûre dans l'approche de ce problème.

 

 

Sanctions et avis en matière de cybersécurité : Une double approche

 

 

La décision des La décision des États-Unis d'imposer des sanctions aux filiales du groupe russe Lockbit basée en Russie, souligne l'engagement du gouvernement à adopter une approche pangouvernementale contre les cybermenaces. Ces sanctions, associées à des avis détaillés sur la cybersécurité, visent à protéger les citoyens et les institutions contre les attaques par ransomware et à tenir pour responsables ceux qui permettent ces activités malveillantes.

 

 

Lockbit : Une étude de cas sur l'évolution des ransomwares

 

 

Lockbit, connu pour son modèle de Ransomware-as-a-Service et sa double tactique d'extorsion, est représentatif de l'évolution du paysage des menaces de la cybercriminalité. La capacité du groupe à exfiltrer et à chiffrer de grandes quantités de données avant d'exiger le paiement d'une rançon en a fait l'une des variantes de ransomware les plus prolifiques au monde. À titre d'information, le groupe aurait reçu plus de 100 millions de dollars au cours de la seule année écoulée en paiement de rançons.

La saisie de l'infrastructure de Lockbit, y compris les serveurs utilisés pour héberger les données volées et ses sites de fuites sur le dark web, marque une victoire importante pour les forces de l'ordre. Toutefois, elle rappelle également la nature persistante et adaptable des cybercriminels.

 

 

L'ironie du démantèlement

 

 

Comment Lockbit a-t-il été arrêté ? Il s'avère que l'un de ses serveurs web orientés vers le réseau d'oignons n'avait pas été corrigé d'une vulnérabilité connue. La même tactique employée pour accéder illégalement aux systèmes des victimes a été utilisée pour accéder et identifier le serveur à partir duquel Lockbit a fourni une assistance "client" aux victimes du ransomware (c'est-à-dire où ils ont négocié le montant de la rançon et menacé les victimes pour qu'elles la paient).

Le site web fonctionnait avec PHP 8, et la version spécifique était vulnérable à la CVE-2023-3824. Je suppose que tout le monde est coupable d'avoir retardé la mise en place de correctifs à un moment ou à un autre.

 

 

Aller de l'avant : Les leçons tirées et la voie à suivre

 

 

Le succès de l'opération Cronos contre Lockbit témoigne de l'importance de la collaboration internationale et de la nécessité d'une approche multidimensionnelle de la cybersécurité. Alors que nous célébrons cette victoire, nous devons également nous préparer à l'évolution inévitable des tactiques des ransomwares et à l'émergence de nouvelles menaces.

Le moteur économique des ransomwares garantit que l'espace laissé libre sera sans aucun doute rapidement occupé par de nouveaux acteurs et groupes. Le fait que certains des membres de Lockbit restent dans des juridictions hors de portée de la police internationale et pratiquement à l'abri de l'effet des sanctions, il ne sera pas exagéré d'imaginer une situation dans laquelle une nouvelle variante ou une organisation Lockbit rebaptisée réapparaîtra.

Les professionnels de la cybersécurité, les organisations et les particuliers doivent rester vigilants, adopter des mesures de défense proactives et encourager la coopération pour contrer la menace constante des ransomwares. La lutte contre la cybercriminalité est loin d'être terminée, mais des opérations comme celle de Cronos sont porteuses d'espoir et constituent un modèle de réussite pour l'avenir. 

Le côté (très) positif de cette histoire est qu'elle montre une fois de plus la fragilité de ces organisations criminelles, même lorsqu'elles se cachent derrière la façade des stéréotypes de pirates informatiques, tels qu'ils sont généralement dépeints.

 

Résumé
Le verrouillage de Lockbit : La chute d'un cartel de ransomware
Nom de l'article
Le verrouillage de Lockbit : La chute d'un cartel de ransomware
Description
Une bombe de cybersécurité vient d'éclater et, pour une fois, la tournure des événements est positive. Parlons du ransomware Lockbit
Auteur
Nom de l'éditeur
de TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Devenez rédacteur invité de TuxCare

Courrier

Aidez-nous à comprendre
le paysage Linux !

Répondez à notre enquête sur l'état de l'Open Source et vous pourrez gagner l'un des nombreux prix, dont le premier est d'une valeur de 500 $ !

Votre expertise est nécessaire pour façonner l'avenir d'Enterprise Linux !