Qu’est-ce que LockBit, le logiciel malveillant ?
Indigo Books & Music Inc. a révélé cette semaine qu’une panne massive des systèmes à laquelle il était confronté depuis près d’un mois avait été déclenchée par un ransomware.
Le détaillant, qui a perdu l’accès à son site Web et à ses capacités de paiement, , un logiciel malveillant qui apparaît de plus en plus dans les failles de sécurité numérique.
Qu’est-ce que LockBit ?
LockBit est à la fois un groupe de cyberattaques et un logiciel malveillant utilisé pour mener des attaques criminelles.
LockBit, le groupe, fonctionne comme une entreprise de ransomware en tant que service, où les équipes développent des logiciels malveillants qui sont concédés sous licence à des réseaux affiliés, qui les utilisent pour mener des attaques, a déclaré Sumit Bhatia, directeur de l’innovation et des politiques chez Rogers Cybersecure. Catalyseur à l’Université métropolitaine de Toronto.
Le site Web de la société de logiciels de sécurité BlackBerry indique que le logiciel malveillant LockBit infiltre les réseaux de ses cibles par le biais de vulnérabilités non corrigées, d’accès d’initiés et d’exploits de jour zéro – des failles dans le logiciel découvertes avant que l’entreprise qui l’a créé ne réalise le problème, leur donnant « zéro jour » pour le résoudre.
LockBit est alors capable d’établir le contrôle du système d’une victime, de collecter des informations sur le réseau et de voler ou de crypter des données, a indiqué le site.
« Les attaques LockBit utilisent généralement une double tactique d’extorsion pour encourager les victimes à payer, d’abord, pour retrouver l’accès à leurs fichiers cryptés, puis à payer à nouveau pour empêcher que leurs données volées ne soient publiées publiquement », a déclaré BlackBerry.
À quel point LockBit est-il prolifique ?
LockBit a demandé au moins 100 millions de dollars de demandes de rançon et extrait des dizaines de millions de dollars de paiements aux victimes, selon un document judiciaire déposé dans le district du New Jersey dans une affaire de 2022 contre un membre présumé de LockBit.
LockBit est apparu dès janvier 2020 et les membres ont depuis exécuté au moins 1 000 attaques LockBit contre des victimes aux États-Unis et dans le monde, selon le document.
Qui est derrière LockBit ?
C’est une question délicate, a déclaré Bhatia, car « ces gens opèrent dans de telles ombres ».
« Mais ce que nous comprenons en grande partie, c’est qu’il existe un lien profond avec la Russie et les anciens membres de la communauté russe, qui ne sont peut-être plus nécessairement basés en dehors de la Russie, mais pourraient opérer à partir d’une série d’endroits différents à travers l’Europe, et former un partie de ce vaste réseau que LockBit a lancé », a-t-il ajouté.
Cela signifie que les membres de LockBit peuvent être situés n’importe où dans le monde. En novembre, par exemple, le ministère américain de la Justice a inculpé Mikhail Vasiliev, double citoyen russe et canadien, pour sa participation présumée à une campagne de ransomware LockBit.
La cyberattaque d’Indigo a-t-elle été menée par le gang LockBit ou quelqu’un utilisant le logiciel LockBit ?
Indigo a déclaré que son réseau était « accessible par des criminels (présumés) qui ont déployé un logiciel de ransomware connu sous le nom de LockBit », mais a ajouté qu’il ne savait pas précisément qui était derrière l’attaque.
Où d’autre LockBit a-t-il été impliqué ?
L’Hospital for Sick Children de Toronto a subi une attaque de ransomware en décembre qui a affecté ses opérations. LockBit a affirmé que l’un de ses partenaires avait mené l’attaque, pour laquelle le groupe s’est finalement excusé, affirmant que les attaques contre les hôpitaux enfreignaient ses règles.
Parmi les autres victimes de LockBit figurent le britannique Royal Mail, le groupe technologique français Thales et l’autorité portuaire de Lisbonne au Portugal.
Que peuvent faire les entreprises pour éviter d’être victimes d’une attaque LockBit ?
LockBit s’appuie principalement sur les attaques de phishing, a déclaré Bhatia.
L’hameçonnage commence généralement par des e-mails ou des SMS frauduleux destinés à donner l’impression qu’ils ont été envoyés par une entreprise digne de confiance. Ils dupent souvent les gens pour qu’ils saisissent des informations confidentielles telles que des mots de passe sur un site Web frauduleux ou téléchargent des logiciels malveillants sur un ordinateur ayant accès au réseau d’une entreprise.
« Les rançongiciels, en particulier par le biais du phishing, se résument souvent à l’élément humain », a déclaré Bhatia.
Cela signifie que la meilleure façon de l’arrêter est de s’assurer que le personnel est prudent et comprend comment examiner les liens et les messages qu’ils reçoivent pour éviter les escroqueries.
« C’est vraiment comprendre comment être à l’affût de quelque chose qui est considéré comme suspect », a déclaré Bhatia.
Est-ce une bonne idée de payer les attaquants pour accéder à votre système ou décrypter des données et des fichiers si vous êtes attaqué par un ransomware ?
« Du point de vue de l’application de la loi, les organisations sont encouragées à ne pas payer et c’est … parce que vous n’êtes pas vraiment assuré, même après avoir payé, que vous ne serez pas affecté négativement », a déclaré Bhatia.
« Vous ne pouvez pas vraiment compter sur les engagements pris par ces attaquants. »
Les autorités découragent également de payer car cela encourage les criminels à poursuivre leurs attaques et propage un cycle, a-t-il déclaré.
Cependant, il a noté que « les petites entreprises n’ont pas toujours le luxe de ne pas payer ou celles qui travaillent avec des secteurs critiques, où l’accès à ces données ou l’accès à ces systèmes est critique et peut avoir un effet négatif grave ».
Indigo a refusé de payer ses attaquants, qui, selon l’entreprise, prévoyaient de publier sur le dark web les données des employés qu’elle a volées.
« Les commissaires à la protection de la vie privée ne pensent pas que le paiement d’une rançon protège ceux dont les données ont été volées, car il n’y a aucun moyen de garantir la suppression/protection des données une fois la rançon payée », a déclaré Indigo sur son site Internet.
« De plus, nous ne pouvons pas être assurés que tout paiement de rançon ne se retrouvera pas entre les mains de terroristes ou d’autres personnes figurant sur des listes de sanctions. »
Ce rapport de La Presse canadienne a été publié pour la première fois le 3 mars 2023.