Le site Web du LockBit Ransomware Gang fermé par le FBI et les forces de l'ordre internationales

Papawaan

Cette mesure coercitive constitue un coup dur contre le fournisseur de ransomware-as-a-service, qui a été connecté à 2 000 victimes dans le monde.

La Cyber ​​Division de la National Crime Agency du Royaume-Uni, le FBI et des partenaires internationaux ont coupé l’accès des acteurs de la menace de ransomware au site Web de LockBit , qui a été utilisé comme une grande vitrine de ransomware-as-a-service .

Qu’est-ce que le groupe de rançongiciels LockBit ?

Selon CISA , LockBit était le type de ransomware le plus couramment déployé dans le monde en 2023. Le ransomware LockBit pouvait être déployé via des liens de sites Web compromis, du phishing, du vol d’informations d’identification ou d’autres méthodes. LockBit a ciblé plus de 2 000 victimes depuis sa première apparition en janvier 2020, pour un total de plus de 120 millions de dollars en paiements de ransomware.

Le gang gérait des sites Web de ransomware en tant que service comme une entreprise légitime , proposant un blog sur les fuites de données, un programme de bug bounty pour trouver les vulnérabilités du ransomware et des mises à jour régulières. Les attaquants connus sous le nom de « affiliés » recevraient des ransomwares depuis les sites LockBit.

Le ransomware LockBit a été déployé contre des organisations de divers secteurs, en particulier l’industrie manufacturière, la fabrication de semi-conducteurs et la santé. En outre, les attaquants utilisant LockBit ont utilisé le ransomware contre des cibles municipales, notamment Royal Mail au Royaume-Uni.

Le site Web LockBit fermé

Le 20 février, le ministère américain de la Justice a annoncé qu’une action internationale des forces de l’ordre avait fermé de nombreux sites Web utilisés par le gang LockBit pour lancer des attaques de ransomware. Des groupes chargés de l’application des lois des États-Unis, du Royaume-Uni, de la France, de l’Allemagne, de la Suisse, du Japon, de l’Australie, de la Suède, du Canada, des Pays-Bas, de la Finlande et de l’Union européenne ont contribué à la saisie des sites LockBit.

Selon le communiqué de presse, cinq membres présumés de LockBit ont été inculpés pour « leur participation au complot LockBit ».

« Grâce à des années de travail d’enquête innovant, le FBI et nos partenaires ont considérablement dégradé les capacités des pirates informatiques responsables du lancement d’attaques de ransomware paralysantes contre des infrastructures critiques et d’autres organisations publiques et privées à travers le monde », a écrit le directeur du FBI Christopher A. Wray dans le communiqué de presse.

« Pour les décideurs informatiques des entreprises, cet incident rappelle de manière frappante la nécessité de mesures de cybersécurité robustes, la valeur de la collaboration avec les communautés chargées de l’application de la loi et de la cybersécurité, ainsi que la nécessité d’une stratégie de réponse agile et éclairée », a déclaré Lisa Plaggetier, directeur exécutif de la National Cybersecurity Alliance, dans un e-mail à TechRepublic.

Existe-t-il un décrypteur pour LockBit ?

La National Crime Agency du Royaume-Uni et ses partenaires internationaux ont créé des capacités de décryptage qui peuvent déverrouiller les données détenues contre rançon par LockBit. Les organisations ciblées par LockBit peuvent soumettre un formulaire au FBI pour voir si la technologie de décryptage pourrait fonctionner pour elles.

“Nous renversons la situation avec LockBit - en fournissant des clés de décryptage, en déverrouillant les données des victimes et en poursuivant les filiales criminelles de LockBit dans le monde entier”, a déclaré la procureure générale adjointe Lisa Monaco dans le communiqué de presse du ministère de la Justice .

Réponses des acteurs menaçants au retrait de LockBit

À la suite du retrait de LockBit, une équipe de la société de renseignement sur les cybermenaces Searchlight Cyber ​​a surveillé les communications sur le Dark Web et a constaté que certains acteurs malveillants ne savaient pas si le site LockBit serait indisponible pour toujours.

« Même des acteurs notoires (sur le forum Dark Web XSS) connus pour leur histoire de vente d’accès initial aux réseaux d’entreprise – peut-être même des affiliés du gang des ransomwares – ne savaient pas s’ils devaient s’inquiéter ou non, ne sachant pas dans quelle mesure l’infrastructure de LockBit a été compromis », a déclaré Vlad Mironescu, analyste des renseignements sur les menaces chez Searchlight Cyber, dans un e-mail fourni à TechRepublic.

“Nous avons également observé certains acteurs malveillants accusant activement LockBit de mauvaise sécurité opérationnelle, parmi les spéculations selon lesquelles les forces de l’ordre auraient exploité les vulnérabilités découvertes dans l’infrastructure de LockBit pour faire tomber le groupe”, a déclaré Mironescu.

Comment atténuer les attaques de ransomwares

Suivez les meilleures pratiques de cybersécurité pour réduire le risque de ransomware dans votre organisation, notamment :

• Ne cliquez pas sur des liens ou des e-mails suspects.
• Garder les logiciels et le matériel à jour.
• Sauvegarde de vos données, y compris le stockage des données critiques hors ligne.
• Appliquer le principe de sécurité du moindre privilège, donnant aux utilisateurs un accès uniquement aux données de l’entreprise dont ils ont besoin.
• Utiliser des filtres anti-spam et des pare-feu puissants.

Plaggemier a souligné qu’une bonne stratégie de sécurité à plusieurs niveaux comprend également la formation des employés, une protection robuste des points finaux, des contrôles d’accès et une gestion des privilèges stricts, des services de renseignement sur les menaces, une liste blanche des applications, des audits de sécurité réguliers, des tests d’intrusion et la participation à des initiatives collaboratives de partage d’informations.

« Cette approche holistique garantit la préparation et la résilience contre les attaques de ransomwares, protégeant ainsi les actifs et les données critiques », a déclaré Plaggemier.

Source: https://www.techrepublic.com/article/fbi-shut-down-lockbit-ransomware-group/

Violence

Comment atténuer les attaques de ransomwares

J’ajouterais :

• S’équiper d’IPS physique
• S’équiper de solutions logiciels comme Stormshield Endpoint Security
• Avoir des sauvegardes à jour hors réseau pour PRA car les ransomwares s’attaquent aussi aux NAS et spécifiquement aux sauvegardes
• …

Raccoon

@Violence et sensibiliser les utilisateurs aux méthodes employées par les hackers avec piqûres de rappel régulières.

C’est quoi des IPS physiques ?

Violence

@Raccoon a dit dans Le site Web du LockBit Ransomware Gang fermé par le FBI et les forces de l'ordre internationales :

@Violence et sensibiliser les utilisateurs aux méthodes employées par les hackers avec piqûres de rappel régulières.

Tout à fait Simple, basique

@Raccoon a dit dans Le site Web du LockBit Ransomware Gang fermé par le FBI et les forces de l'ordre internationales :

C’est quoi des IPS physiques ?

Des systèmes de prévention des intrusions (IPS)
Tu as aussi les systèmes de détection des intrusions (IDS)

Les systèmes de détection des intrusions (IDS) analysent le trafic réseau pour détecter des signatures correspondant à des cyberattaques connues. Les systèmes de prévention des intrusions (IPS) analysent également les paquets, mais ils peuvent aussi les bloquer en fonction du type d’attaques qu’ils détectent, ce qui contribue à stopper ces attaques.

IPS et IDS – Quelle est la différence ?

En examinant les solutions IPS, vous rencontrerez également des systèmes de détection d’intrusion (IDS). Avant de nous pencher sur le fonctionnement de ces systèmes anti-intrusions, examinons la différence entre IPS et IDS.

La principale différence entre l’IPS et l’IDS est l’action prise lorsqu’un incident potentiel a été détecté.

• Les systèmes de prévention des intrusions contrôlent l’accès à un réseau informatique et le protègent contre les abus et les attaques. Ces systèmes sont conçus pour surveiller les données d’intrusion et prendre les mesures nécessaires pour éviter qu’une attaque ne se déclenche.
• Les systèmes de détection des intrusions ne sont pas conçus pour bloquer les attaques. Ils se contentent de surveiller le réseau et d’envoyer des alertes aux administrateurs si une menace potentielle est détectée.

Raccoon

@Violence Ok, c’est cde qu’on appelle la Deep Packet Inspection sur les firewalls ?