Le Federal Bureau of Investigation (FBI) des États-Unis a révélé qu’il était en possession de plus de 7 000 clés de déchiffrement associées à l’opération du ransomware LockBit pour aider les victimes à récupérer leurs données gratuitement.
« Nous tendons la main aux victimes connues de LockBit et encourageons toute personne soupçonnant d’être une victime à visiter notre centre de plaintes contre la criminalité sur Internet sur ic3.gov », a déclaré Bryan Vorndran, directeur adjoint de la division cyber du FBI. dit dans un discours liminaire à la Conférence de Boston 2024 sur la cybersécurité (BCCS).
LockBit, qui était autrefois un groupe prolifique de ransomwares, a été associé à plus de 2 400 attaques dans le monde, avec pas moins de 1 800 entités impactées aux États-Unis. Plus tôt en février, une opération internationale d’application de la loi baptisée Cronos et dirigée par la National Crime Agency (NCA) du Royaume-Uni. démantelé son infrastructure en ligne.
Le mois dernier, un ressortissant russe de 31 ans, Dmitry Yuryevich Khoroshev, a été démasqué par les autorités en tant qu’administrateur et développeur du groupe, une affirmation que LockBitSupp a depuis niée.
« Il entretient l’image d’un hacker obscur, utilisant des pseudonymes en ligne comme ‘Putinkrab’, https://thehackernews.com/2024/06/ »Nerowolfe’ et ‘LockBitsupp' », Vorndran dit. « Mais en réalité, c’est un criminel, plus impliqué dans la bureaucratie de gestion de son entreprise que dans des activités secrètes. »
Khoroshev aurait également nommé d’autres opérateurs de ransomwares afin que les forces de l’ordre puissent « y aller doucement avec lui ». Malgré ces actions, LockBit a continué à rester actif sous une nouvelle infrastructure, bien qu’il ne fonctionne nulle part à ses niveaux précédents.
Statistiques partagées par Malwarebytes montrer que la famille des ransomwares a été liée à 28 attaques confirmées au cours du mois d’avril 2024, ce qui la place derrière Play, Hunters International et Black Basta.
Vorndran a également souligné que les entreprises qui choisissent de payer pour empêcher la fuite de données n’ont aucune garantie que les informations seront effectivement supprimées par les attaquants, ajoutant que « même si vous récupérez les données des criminels, vous devez supposer qu’elles pourraient un jour être divulguées ». ou vous pourriez un jour être à nouveau extorqué pour les mêmes données. »
Selon le Rapport Veeam sur les tendances des ransomwares 2024Selon une enquête menée auprès de 1 200 professionnels de la sécurité, les organisations victimes d’une attaque de ransomware ne peuvent récupérer, en moyenne, que 57 % des données compromises, ce qui les rend vulnérables à « une perte de données substantielle et un impact négatif sur leur activité ».
Cette évolution coïncide avec l’émergence de nouveaux acteurs tels que SenSayQ et ArgentRansomware (alias CashCrypt), car les familles de ransomwares existantes comme TargetCompany (alias Mallox et Water Gatpanapun) affinent constamment leur savoir-faire en tirant parti d’une nouvelle variante Linux pour cibler les systèmes VMWare ESXi.
Les attaques profitent des serveurs Microsoft SQL vulnérables pour obtenir un accès initial, une technique adopté par le groupe depuis son arrivée en juin 2021. Il détermine également si un système ciblé s’exécute dans un environnement VMWare ESXi et dispose de droits d’administrateur avant de poursuivre la routine malveillante.
« Cette variante utilise un script shell pour la livraison et l’exécution des charges utiles », ont déclaré Darrel Tristan Virtusio, Nathaniel Morales et Cj Arsley Mateo, chercheurs de Trend Micro. dit. « Le script shell exfiltre également les informations de la victime vers deux serveurs différents afin que les acteurs du ransomware disposent d’une sauvegarde des informations. »
La société de cybersécurité a attribué les attaques déployant la nouvelle variante Linux du ransomware TargetCompany à une filiale nommée Vampire, qui a également été révélée par Sekoia le mois dernier.