Les cyberattaquants de LockBit affaiblis : les entreprises ne doivent pas se croire en sécurité pour autant !

Traqué par les forces de l'ordre, LockBit, 1er cybergang mondial, est l'arbre qui cache la forêt. Les ransomwares sont redoutables et aucune entreprise ne doit baisser sa garde face aux cyberattaques.

Cronos. C’est le nom donné à l’importante opération policière internationale incluant pas moins de 11 pays dont la France, menée contre LockBit, le groupe de cyberattaquants numéro 1 mondial du ransomware (avec 2 000 victimes et plus de 100 millions de gains financiers générés en 4 ans). Une opération d’une ampleur rare qui a permis de perturber fortement le groupe d’attaquants. Si fortement que ça ? Rien n’est moins sûr, puisque LockBit a rapidement relancé un site vitrine et annoncé de nouvelles victimes.

Depuis, le cybergang et les forces de l’ordre se livrent à un « jeu du chat et de la souris » parfois digne d’une série à succès, mais qui doit surtout nous rappeler que les cyberattaquants sont très bien organisés et qu’ils ne sont pas près de laisser tomber leur lucrative activité malveillante… pour le plus grand malheur des entreprises.

Le souvenir amer du malware Emotet ?

Au cours de l’opération Cronos, les autorités ont réalisé plusieurs arrestations (fait qui reste relativement rare), saisi pas moins de 34 serveurs au cœur de l’infrastructure de LockBit et gelé plus de 200 comptes de cryptomonnaie liés au cybergang. Un coup de filet de cette ampleur n’arrive pas tous les jours.

Mais le retour rapide de LockBit sur le devant de la scène n’est pas sans rappeler le cas d’Emotet, terrible malware « démantelé » plusieurs fois par les forces de l’ordre et qui a systématiquement été remis en activité en quelques mois. Ces cybergangs ont en effet créé des réseaux extrêmement complexes s’apparentant à des hydres dont on ne peut venir à bout qu’en coupant toutes les têtes en même temps. Une tâche très compliquée même pour les forces de l’ordre.

Pour bien prendre conscience des moyens dont disposent les cyberattaquants, il faut rappeler que la cybercriminalité génère aujourd’hui plus de revenus que le marché de la drogue au niveau mondial.

Et même si LockBit était responsable en 2023 de 27% des cyberattaques de rançongiciels en France - ce qui est colossal – le groupe reste un acteur de la cybercriminalité du ransomware parmi tant d’autres. De plus, LockBit fournit l’outil (le ransomware) qui sert à bloquer les entreprises et à les rançonner mais c’est ensuite un énorme réseau de pirates indépendants (les affiliés) qui mènent les attaques.

Pour les entreprises, le coup porté à LockBit n’a qu’un impact très minime

L’opération menée contre LockBit est donc une petite victoire de la défense sur les attaquants. Mais pour les entreprises, cela n’a finalement pas beaucoup d’impact et il est important qu’elles ne considèrent pas que le coup porté à LockBit va changer quoi que ce soit à leur posture en termes de cybersécurité. En effet, lors de la forte période de médiatisation de l’opération, il a parfois été relayé que le gang aurait été démantelé, ce qui n’est pas vrai. Il serait dommage que certaines entreprises concluent que la menace est désormais moindre alors que les nombreux efforts de sensibilisation commencent à avoir un effet réellement positif !  

Malgré tout, quelques entreprises vont certainement retrouver leurs données grâce aux clés de déchiffrement délivrées par les autorités. Celles-ci auraient réussi à en récupérer environ 1 000 (sur les 20 000 existantes…). En théorie, si les coupables de rançonnage venaient à être arrêtés, les entreprises déjà victimes pourraient porter plainte et espérer une indemnisation… Le cas étant si rare, il faut voir comment cela pourrait vraiment se matérialiser.

Finalement, et c’est important de le répéter, face aux ransomwares, la seule solution est de se sécuriser. Attendre que les forces de l’ordre viennent à bout des cybergangs est utopique. Sommes-nous parvenus à réduire la vente de drogue après tant d’années ?

Seule une hygiène de base de cybersécurité peut protéger les entreprises, surtout les plus petites

Pour les entreprises, les conséquences des attaques de ransomware et du vol de données sont graves. C’est pourquoi il est essentiel qu’elles s’appuient sur un protocole de cybersécurité qui protège leurs informations sensibles, mais aussi celles de leurs partenaires et clients. Mettre en place une hygiène de sécurité efficace contre la majeure partie des attaques n’est plus si complexe ou coûteux que par le passé. Voici quelques-uns des principaux gardes fous efficaces : 

  •  Effectuer des sauvegardes périodiques : veiller à conserver des copies ou des sauvegardes des informations confidentielles ou sensibles et à les stocker dans un autre système de stockage. Vous pourrez ainsi récupérer plus rapidement les informations endommagées ou volées, ce qui réduira considérablement l'impact et le coût d'une attaque. 
  •  Investir dans le capital humain : disposer d'une équipe de cybersécurité dotée des connaissances techniques nécessaires pour protéger une entreprise peut faire une grande différence dans la défense contre les menaces. L'externalisation de ce service en faisant appel à un MSP (ou fournisseur de services managés) peut être une option utile pour les entreprises qui n'ont pas les ressources nécessaires pour constituer une équipe spécialisée en interne.
  •  Maintenir le VPN à jour : comme de nombreuses entreprises ont mis en place un modèle de travail hybride ou à distance, le VPN est désormais un outil essentiel car il unifie les appareils d'une entreprise dans un réseau privé unique, quel que soit leur emplacement. L'utilisation des VPN étant de plus en plus courante dans les entreprises, le fait de s'assurer que vous appliquez les dernières mises à jour et les derniers correctifs, et que vous respectez les règles de sécurité, constitue un niveau de protection supplémentaire pour votre système.
  •  Restreindre l'accès aux informations sensibles : plus le nombre d'utilisateurs ayant accès à des données sensibles est élevé, plus la probabilité d'exfiltration de données est grande. Il est recommandé aux entreprises de contrôler l'accès à leurs fichiers internes afin de réduire les risques. Limiter l'accès aux personnes qui ont besoin de ces informations spécifiques pour faire leur travail est un moyen de contrôler l'accès aux fichiers d'une organisation et d'empêcher les accès non autorisés.
  •  Évaluer régulièrement la sécurité des terminaux (serveurs, postes de travail, PC, smartphones, etc.) : selon les données fournies par notre Threat Lab, les attaques ciblant les terminaux (ou endpoints) ont augmenté de 89% au troisième trimestre 2023. De mauvaises habitudes de la part des collaborateurs ou l'utilisation de logiciels obsolètes, entre autres raisons, font des appareils une porte d'entrée pour les cybercriminels et compromettent la cybersécurité des organisations. Une gestion efficace et régulière de la sécurité des terminaux doit être une priorité pour les entreprises à travers la mise en œuvre de technologies de pointe pour se protéger contre les cyber-risques potentiels.

L’opération Cronos est une petite victoire dans le « jeu du chat et de la souris » que se livrent les forces de l’ordre et les cybergangs, et qui est malheureusement loin d’être fini. Et même s’il est très appréciable que la défense l’emporte parfois, cela ne doit pas détourner les entreprises de leurs efforts de cybersécurisation. Aujourd’hui, elles en ont les moyens. N’oublions pas non plus que dans quelques mois, les projecteurs du monde entier seront braqués sur la France avec les Jeux Olympiques. Ceux des cyberattaquants également, et ils auront certainement très envie de montrer l’étendue de leur pouvoir. Objectif sécurité !