Qu’est-ce que LockBit, le malware utilisé contre Indigo et SickKids ?

Indigo Livres & Musique Inc. Cette semaine, IDG-T a signalé une panne majeure sur les systèmes avec lesquels il travaillait depuis environ un mois en raison du rançongiciel.

Le détaillant, qui a perdu l’accès à son site Web et à ses capacités de paiement, a déclaré que l’attaque avait déployé LockBit, un logiciel malveillant de plus en plus sujet aux failles de sécurité numérique.

Qu’est-ce que Lockbit ?

LockBit est une suite de cyberattaques et un logiciel malveillant utilisé pour mener des attaques criminelles.

LockBit Group fonctionne comme une société de ransomware en tant que service, où les équipes développent des logiciels malveillants sous licence pour les réseaux affiliés, qu’ils utilisent pour mener des attaques, a déclaré Sumit Bhatia, directeur de l’innovation et des politiques chez Rogers Cybersecure. Catalyseur à l’Université métropolitaine de Toronto.

Le site Web du logiciel de sécurité BlackBerry indique que le malware LockBit s’infiltre dans les réseaux de ses cibles via des vulnérabilités non corrigées, des accès d’initiés et des exploits zero-day – des failles logicielles découvertes avant que l’entreprise qui l’a créé ne réalise le problème, ce qui leur donne « zéro jour ». il.

Le site a déclaré que LockBit est alors capable de prendre le contrôle du système de la victime, de collecter des informations sur le réseau et de voler ou de crypter les données.

« Les attaques LockBit utilisent généralement une double tactique d’extorsion pour encourager les victimes à payer, d’abord, pour retrouver l’accès à leurs fichiers cryptés, puis à payer à nouveau pour empêcher que leurs données volées ne soient rendues publiques », a déclaré BlackBerry.

À quel point LockBit est-il prolifique ?

LockBit a demandé au moins 100 millions de dollars de demandes de rançon et extrait des dizaines de millions de dollars de paiements aux victimes, selon un document judiciaire déposé dans le district du New Jersey dans une affaire de 2022 contre un membre présumé de LockBit.

LockBit est apparu dès janvier 2020, et les membres ont depuis mené au moins 1 000 attaques LockBit contre des victimes aux États-Unis et dans le monde, selon le document.

Qui est derrière LockBit ?

C’est une question difficile, a déclaré Bhatia, car « ces gens opèrent dans de telles nuances ».

« Mais ce que nous comprenons en grande partie, c’est qu’il existe un lien profond avec la Russie et les anciens membres de la communauté russe, qui ne sont plus nécessairement basés en dehors de la Russie, mais pourraient opérer à partir d’une série d’endroits différents à travers l’Europe, et faire partie de ce réseau. lancé par LockBit ».

Cela signifie que les membres de LockBit peuvent être situés n’importe où dans le monde. En novembre, par exemple, le ministère américain de la Justice a inculpé Mikhail Vasiliev, double citoyen russe et canadien, pour sa participation présumée à la campagne de ransomware LockBit.

LockBit a-t-il mené la cyberattaque Indigo ou quelqu’un a-t-il utilisé LockBit ?

Indigo a déclaré que son réseau était « accessible par des criminels (présumés) qui ont déployé un rançongiciel connu sous le nom de LockBit », mais a ajouté qu’il ne savait pas précisément qui était derrière l’attaque.

Où d’autre LockBit était-il impliqué ?

Le Toronto Hospital for Sick Children a été touché par une attaque de ransomware en décembre qui a affecté ses opérations. LockBit a affirmé que l’un de ses complices avait perpétré l’attaque, pour laquelle le groupe s’est finalement excusé, affirmant que les attaques contre les hôpitaux violaient ses règles.

Parmi les autres victimes de LockBit figurent le britannique Royal Mail, le groupe technologique français Thales et l’autorité portuaire de Lisbonne au Portugal.

Que peuvent faire les entreprises pour éviter d’être victimes d’une attaque LockBit ?

Bhatia a déclaré que LockBit s’appuie principalement sur des attaques de phishing.

L’hameçonnage commence généralement par des e-mails ou des SMS frauduleux censés provenir d’une entreprise digne de confiance. Ils incitent souvent les gens à saisir des informations confidentielles telles que des mots de passe sur un site Web frauduleux ou à télécharger des logiciels malveillants sur un ordinateur ayant accès au réseau de l’entreprise.

« Les rançongiciels, en particulier par le biais du phishing, sont souvent réduits à l’élément humain », a déclaré Bhatia.

Cela signifie que la meilleure façon de les arrêter est de faire attention et de comprendre comment examiner les liens et les messages qu’ils reçoivent pour éviter les escroqueries.

« Il a vraiment compris comment rechercher quelque chose qui était considéré comme suspect », a déclaré Bhatia.

Est-il acceptable de payer des attaquants pour accéder à votre système ou décrypter des données et des fichiers si vous êtes attaqué par un ransomware ?

« Du point de vue de l’application de la loi, les organisations sont encouragées à ne pas payer et c’est … parce que vous n’êtes pas vraiment garanti, même après avoir payé, vous ne serez pas affecté », a déclaré Bhatia.

« Vous ne pouvez pas vraiment compter sur les engagements pris par ces attaquants. »

Il a dit que les autorités découragent le paiement car cela encourage les criminels à poursuivre leurs attaques et à propager un cercle.

Cependant, il note que « les petites entreprises n’ont pas toujours le luxe de ne pas payer ou celles qui travaillent avec des secteurs critiques, où l’accès à ces données ou l’accès à ces systèmes est critique et peut avoir un impact négatif grave ».

Indigo a refusé de payer ses attaquants, qui, selon la société, prévoyaient de publier les données des employés volées sur le dark web.

« Les commissaires à la protection de la vie privée ne pensent pas que le paiement de la rançon protège ceux dont les données ont été volées, car il n’y a aucun moyen de garantir que les données sont supprimées/protégées une fois la rançon payée », a déclaré Indigo sur son site Web.

« En outre, nous ne pouvons pas être certains qu’aucune rançon ne se retrouvera entre les mains de terroristes ou d’autres personnes figurant sur des listes de sanctions. »