Le mardi 20 février, le site internet principal du groupe de ransomware influent LockBit a été fermé suite à une opération de police coordonnée de 11 pays. Ce cyber-gang, actif depuis 2020 et décrit comme « le plus prolifique et le plus dangereux au monde » par Europol, revendique plus de 1700 attaques depuis sa création.
Communiqué – Paolo Passeri, Cyber Intelligence Specialist chez Netskope, livre l’analyse suivante :
« Les forces de police adoptent une approche plus agressive lors des opérations contre les cyber-gangs, l’opération contre LockBit, faisant suite à celles contre ALPH/BlackCat et HIVE, ne fait pas exception. L’implication de plusieurs pays démontre une sophistication croissante de ces réseaux criminels, mais également d’une collaboration solide en matière de défense entre différentes nations.
La technique des forces de l’ordre pour saisir le contrôle du site Internet de LockBit est un peu ironique. Elles ont, en effet, exploité la vulnérabilité CVE-2023-3824, affectant PHP, utilisant ainsi la méthode d’attaque du groupe de cybercriminels, dont l’exploitation de vulnérabilités est l’une des principales méthodes d’attaque. Il est important de préciser que de simples erreurs opérationnelles peuvent nuire gravement à la capacité de fonctionnement d’une organisation. Il est, par conséquent, essentiel que les entreprises prennent le temps d’analyser et de protéger leur infrastructure.
Cet assaut réussi est une victoire pour la lutte contre les ransomwares à un niveau macro et systémique, mais n’a pas pour autant éliminé le groupe de cybercriminels. Ces derniers continuent à s’adapter, à se coordonner et à faire évoluer leurs capacités. Par conséquent, les gouvernements et les industries privées se doivent de continuer à faire de même. Les organisations ont pour mission de construire, développer, collaborer à tous les niveaux afin de faire face à la menace mondiale que représentent les gangs de ransomwares. »
LockBit, le groupe de ransomwares « le plus nuisible » au monde selon Europol, a été ciblé lors d’une opération policière internationale coordonnée de 11 pays, incluant la France. Depuis 2020, ces cybercriminels ont affirmé être responsables d’au moins 1700 attaques. Leur site principal est désormais inaccessible.
Dirk Schrader, Resident CISO (EMEA) et VP of Security Research chez Netwrix, a fait le commentaire suivant :
« Cette opération de démantèlement de Lockbit semble avoir intégré certaines leçons tirées d’opérations passées. L’opération a pénétré profondément dans le réseau derrière le groupe et a tenté de déraciner une grande partie, voire tous les éléments de sa supply chain, comme l’indiquent les notes laissées aux cybercriminels qui se connectent à la plateforme. Cette approche augmente les chances que Lockbit ne refasse pas surface, contrairement à d’autres plateformes de ransomware récentes, comme Trickbot et ALPHV. Cependant, cela reste à être confirmé.
Bien que la saisie des crypto-monnaies et l’arrestation de deux individus soient signe d’efficacité, ce n’est pas un signe de réduction des mesures de défenses. Il existe encore de nombreux autres gangs, et il demeure encore beaucoup d’incohérences entre les pays en ce qui concerne la cybercriminalité, et il y a toujours de l’argent en jeu. En effet, un grand nombre de cyberattaques réussies ont entraîné des dépenses imprévues. Les entreprises ne doivent donc pas réduire leurs efforts pour protéger leurs données, leurs identités et leurs infrastructures. De plus, mieux vaut prévenir que guérir. Il faut ainsi veiller à ce que les comptes soient protégés à l’aide de la MFA, que les privilèges soient réduits au minimum nécessaire pour effectuer le travail et n’existent que juste à temps, que les systèmes soient renforcés et que les données vitales soient sécurisées. Il faut maintenant voir si LockBit reste hors d’état de nuire, mais il est certain que d’autres sont prêts à combler le vide. »