S'inscrire

Cybersécurité - 07/06/2024

Le FBI distribue 7 000 clés de décryptage du ransomware LockBit pour aider les victimes

Le Federal Bureau of Investigation (FBI) des États-Unis a révélé qu’il était en possession de plus de 7 000 clés de déchiffrement associées à l’opération du ransomware LockBit pour aider les victimes à récupérer leurs données gratuitement.

“Nous tendons la main aux victimes connues de LockBit et encourageons toute personne soupçonnant d’être une victime à visiter notre centre de plaintes contre la criminalité sur Internet sur ic3.gov”, a déclaré Bryan Vorndran, directeur adjoint de la division cyber du FBI , dans un discours prononcé lors de la conférence 2024 de Boston sur la cybersécurité. Sécurité (BCCS).

LockBit, qui était autrefois un groupe prolifique de ransomwares, a été associé à plus de 2 400 attaques dans le monde, avec pas moins de 1 800 entités impactées aux États-Unis. Plus tôt en février, une opération internationale d’application de la loi baptisée Cronos et dirigée par la National Crime Agency (NCA) du Royaume-Uni. démantelé son infrastructure en ligne.

Le mois dernier, un ressortissant russe de 31 ans, Dmitry Yuryevich Khoroshev, a été démasqué par les autorités en tant qu’administrateur et développeur du groupe, une affirmation que LockBitSupp a depuis niée.

“Il entretient l’image d’un hacker obscur, utilisant des pseudonymes en ligne comme ‘Putinkrab’, ‘Nerowolfe’ et ‘LockBitsupp'”, a déclaré Vorndran . “Mais en réalité, c’est un criminel, plus impliqué dans la bureaucratie de gestion de son entreprise que dans des activités secrètes.”

Khoroshev aurait également nommé d’autres opérateurs de ransomwares afin que les forces de l’ordre puissent “y aller doucement avec lui”. Malgré ces actions, LockBit a continué à rester actif sous une nouvelle infrastructure, bien qu’il ne fonctionne nulle part à ses niveaux précédents.

Les statistiques partagées par Malwarebytes montrent que la famille des ransomwares a été liée à 28 attaques confirmées au cours du mois d’avril 2024, ce qui la place derrière Play, Hunters International et Black Basta.

Vordan a également souligné que les entreprises choisissant de payer pour empêcher la fuite de données n’ont aucune garantie que les informations seront effectivement supprimées par les attaquants, ajoutant que « même si vous récupérez les données des criminels, vous devez supposer qu’elles pourraient un jour être divulguées ». ou vous pourriez un jour être à nouveau extorqué pour les mêmes données. »

Selon le rapport Veeam Ransomware Trends 2024 , basé sur une enquête menée auprès de 1 200 professionnels de la sécurité, les organisations confrontées à une attaque de ransomware ne peuvent récupérer, en moyenne, que 57 % des données compromises, ce qui les rend vulnérables à « des pertes de données substantielles et à des conséquences négatives sur l’activité ». impact.”

Ce développement coïncide avec l’émergence de nouveaux acteurs tels que SenSayQ et CashRansomware (alias CashCrypt), alors que les familles de ransomwares existantes comme TargetCompany (alias Mallox et Water Gatpanapun) affinent constamment leur savoir-faire en exploitant une nouvelle variante de Linux pour cibler les systèmes VMWare ESXi.

Les attaques profitent des serveurs Microsoft SQL vulnérables pour obtenir un premier accès, une technique adoptée par le groupe depuis son arrivée en juin 2021. Elle détermine également si un système ciblé s’exécute dans un environnement VMWare ESXi et dispose de droits d’administrateur avant de poursuivre l’attaque. routine malveillante.

“Cette variante utilise un script shell pour la livraison et l’exécution des charges utiles”, ont déclaré Darrel Tristan Virtusio, Nathaniel Morales et Cj Arsley Mateo, chercheurs de Trend Micro . “Le script shell exfiltre également les informations de la victime vers deux serveurs différents afin que les acteurs du ransomware disposent d’une sauvegarde des informations.”

La société de cybersécurité a attribué les attaques déployant la nouvelle variante Linux du ransomware TargetCompany à une filiale nommée Vampire, qui a également été révélée par Sekoia le mois dernier.

Sujets récents