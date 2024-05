LockBit diffuse les données dérobées au CH de Cannes les Commentaires d’experts

mai 2024 par Experts

Luis Delabarre, Directeur des SOC de Nomios :

L’opération de police menée en février (appelée Chronos) n’a pas mis un terme à la menace « Lockbit black », en effet en ligne avec nos craintes, l’infrastructure de ce groupe criminel a été reconstruite et nous constatons en ce moment des alertes liées à des tentatives de compromission de postes de travail. Différents vecteurs d’attaques sont utilisés, nous avons par exemple constaté (après nos dernières investigations) que des plateformes telles que Teamviewer sont utilisées pour infecter des postes. Il est important de noter qu’une bonne collaboration entre notre SOC, nos clients et Teamviewer nous a permis dans ce cas de stopper ce type d’attaques.

Malgré tout, nous pouvons également confirmer que les meilleurs EDR du marché détectent et bloquent ce type d’attaque, ce qui permet à nos équipes d’experts de réagir très rapidement. L’efficacité des défenses s’appuie sur un modèle opératoire (humain, technologie et processus) mature, c’est à ce prix que nous pourrons lutter contre ce type de menaces criminelles.

Pascal Le Digol, Directeur France de WatchGuard :

« LockBit n’est pas de retour puisqu’il n’a jamais prétendu avoir arrêté ses activités ! Faire tomber une partie d’infrastructure sans couper les têtes de l’hydre, ça n’a jamais tué définitivement un groupe d’attaquants. LockBit a certes connu une baisse d’activité suite à l’opération Cronos mais il a cumulé des centaines de millions de revenus donc il a les moyens, le temps et la compétence pour remonter une infrastructure forte. Le patron supposé de LockBit, LockBit Supp, expliquait d’ailleurs avoir beaucoup appris du propre piratage de son infrastructure par les forces de l’ordre...

Dans cette affaire LockBit, il semblerait que les forces de l’ordre aient joué un jeu dangereux en affirmant « avoir humilié » le groupe. Car si LockBit réalise encore des attaques de cette envergure c’est que ses affiliés lui font toujours confiance. On avait promis aux affiliés d’être traqués mais s’ils sont encore là c’est que l’offre est toujours aussi alléchante et que LockBit a démontré que son outil de chiffrement est efficace et que les gains sont intéressants.

Cette cyberattaque ressemble finalement à un gros coup de communication pour redorer le blason du groupe qui démontre ainsi qu’il a survécu à une opération mondiale de police dont il ressort même grandi. Si le groupe met sa menace de diffusion de données à exécution, le risque pour les patients est de voir leurs données très sensibles monnayées sur le darknet pour rejoindre l’immense quantité de données personnelles déjà disponibles et finalement entretenir la redoutable machine du phishing, des phishing ciblés et autres arnaques en ligne. »

Stéphanie Ledoux, CEO fondatrice d’Alcyconie :

Le « retour » sur le devant de la scène de LockBit fait l’actualité et cela se comprend au vu des dernières annonces faisant état de son potentiel démantèlement.

S’attendre à la dissolution complète et définitive des groupes cybercriminels est une posture très incertaine. En revanche, cette nouvelle cyberattaque contre un Centre Hospitalier doit nous inviter à réfléchir sur le niveau de préparation et de cyber-résilience des organisations sensibles. Mettre un terme à la cybercriminalité mondiale est utopique, mais se préparer pour gérer au mieux une crise d’origine cyber très complexe et stressante comme celle que doit gérer le CH de Cannes depuis plusieurs semaines, c’est tout à fait possible et cela peut radicalement changer l’impact des cyberattaques.