Publication du rapport d'analyse du ransomware LockBit 3.0.

Entre le 24 mars et la première semaine d'avril de cette année, le cyberespace vietnamien a été le théâtre d'une série d'attaques ciblées par rançongiciel visant de grandes entreprises vietnamiennes opérant dans des secteurs critiques tels que la finance, les valeurs mobilières, l'énergie et les télécommunications. Ces attaques ont provoqué des interruptions de service pendant un certain temps, entraînant des pertes économiques considérables et portant atteinte à la réputation des entités visées.

Suite à l'analyse et à l'enquête menées sur les causes et les groupes ayant récemment attaqué les systèmes d'information d'entreprises vietnamiennes, les autorités ont constaté que ces incidents étaient le fait de divers groupes de pirates informatiques tels que LockBit, BlackCat, Mallox, etc. En particulier, concernant l'attaque par rançongiciel perpétrée contre le système de VNDIRECT le 24 mars à 10h00, qui a chiffré toutes les données de cette entreprise figurant parmi les trois premières de la bourse vietnamienne, les autorités ont identifié LockBit et son logiciel malveillant LockBit 3.0 comme étant les auteurs de cette attaque.

W-tan-cong-ma-hoa-du-lieu-0-1-1.jpg
Le Centre national de cybersécurité, département A05 ( ministère de la Sécurité publique ), a confirmé que l'attaque contre le système de la société de sécurité VNDIRECT en mars 2024 a été menée par LockBit 3.0.

À l'échelle mondiale , le groupe LockBit a lancé de nombreuses attaques de rançongiciels ciblant de grandes entreprises et organisations. Par exemple, en juin et octobre 2023, ce groupe tristement célèbre a attaqué le fabricant de semi-conducteurs TSMC (Taïwan, Chine) et la société de produits et services informatiques CDW, exigeant des rançons allant jusqu'à 70 à 80 millions de dollars.

Afin d'aider les agences, les organisations et les entreprises vietnamiennes à mieux comprendre le niveau de danger et comment prévenir et atténuer les risques liés aux attaques de ransomware en général, ainsi qu'aux attaques du groupe LockBit en particulier, le Centre national de surveillance de la cybersécurité (NCSC), relevant du Département de la sécurité de l'information (Ministère de l'Information et des Communications), a compilé des informations provenant de sources en ligne et publié le « Rapport d'analyse sur le ransomware LockBit 3.0 ».

Le groupe de ransomware le plus dangereux au monde.

Le nouveau rapport du NCSC se concentre sur quatre points principaux, notamment : des informations sur le groupe d’attaques de ransomware LockBit ; les clusters LockBit actifs ; une liste des indicateurs de cyberattaques liés à LockBit 3.0 enregistrés ; et des méthodes de prévention et d’atténuation des risques liés aux attaques de ransomware.

Identifiant LockBit comme l'un des principaux groupes de ransomware au monde, le rapport du NCSC indique également que, depuis son apparition en 2019, LockBit a mené de nombreuses attaques ciblant des entreprises et des organisations de divers secteurs. Le groupe opère selon un modèle de « ransomware à la demande » (RaaS), permettant aux cybercriminels de déployer des ransomwares et de partager les profits avec les fournisseurs du service.

ransomware lockbit.jpg
D'après les experts, LockBit est l'un des groupes de ransomware les plus dangereux au monde. (Illustration : Bkav)

En septembre 2022, le code source de LockBit 3.0, incluant plusieurs noms susceptibles d'avoir servi au développement de ce ransomware, a fuité sur la plateforme X (anciennement Twitter) sous le pseudonyme d'« ali_qushji ». Cette fuite a permis aux experts d'analyser LockBit 3.0 plus en détail. Depuis, des cybercriminels ont créé de nombreuses variantes de ransomware basées sur ce code source.

Outre l'analyse des méthodes d'attaque des clusters actifs de ransomware LockBit tels que TronBit, CriptomanGizmo et Tina Turnet, le rapport du NCSC fournit également aux agences compétentes une liste d'indicateurs de compromission (IOC) enregistrés et liés à LockBit 3.0. « Nous mettrons à jour en continu les indicateurs IOC sur la page alert.khonggianmang.vn du portail national de cybersécurité », a déclaré un expert du NCSC.

Une section particulièrement importante du rapport d'analyse du ransomware LockBit 3.0 concerne les recommandations destinées aux agences, organisations et entreprises sur la prévention et l'atténuation des risques liés aux attaques de ransomware. Les experts du NCSC continuent de recommander la mise en œuvre de recommandations importantes visant à aider les entités vietnamiennes à prévenir et à réagir aux attaques de ransomware. Ces recommandations, formulées par le Département de la cybersécurité dans le « Manuel des mesures de prévention et d'atténuation des risques liés aux attaques de ransomware » publié le 6 avril, sont essentielles pour aider les entités vietnamiennes à prévenir et à gérer les attaques de ransomware.

W-phong-chong-tan-cong-ransomware-1.jpg
La surveillance continue pour détecter rapidement les intrusions dans les systèmes est l'une des neuf mesures que l'Agence de cybersécurité recommande aux organisations de mettre en œuvre pour prévenir les attaques par rançongiciel. (Illustration : Khanh Linh)

D'après les experts, les attaques de type ransomware actuelles proviennent souvent d'une faille de sécurité au sein d'une organisation. Les attaquants infiltrent le système, s'y maintiennent, étendent leur champ d'action, prennent le contrôle de l'infrastructure informatique et paralysent le système, dans le but de contraindre les victimes à payer une rançon pour récupérer leurs données chiffrées.

S'adressant aux journalistes de VietNamNet cinq jours après l'attaque contre le système VNDIRECT, un représentant du Département de la sécurité de l'information, s'exprimant du point de vue de l'unité coordonnant la réponse à l'incident, a déclaré : Cet incident est une leçon importante pour sensibiliser les organisations et les entreprises au Vietnam à la cybersécurité.

Par conséquent, les agences, les organisations et les entreprises, en particulier celles qui opèrent dans des secteurs critiques tels que la finance, la banque, les valeurs mobilières, l'énergie et les télécommunications, doivent revoir et renforcer de toute urgence et de manière proactive leurs systèmes de sécurité et leur personnel existants, tout en élaborant des plans d'intervention en cas d'incident.

« Les organisations doivent se conformer strictement aux réglementations, exigences et directives en matière de sécurité de l'information et de cybersécurité. Il est de la responsabilité de chaque organisation et entreprise de se protéger, ainsi que ses clients, contre les risques potentiels de cyberattaques », a souligné un représentant du Département de la sécurité de l'information.

Le ransomware LockBit était initialement connu sous le nom d'ABCD, d'après l'extension des fichiers chiffrés. Quelques mois plus tard, une variante d'ABCD est apparue sous son nom actuel, Lockbit. Un an plus tard, le groupe a publié une version améliorée, LockBit 2.0 (également appelée LockBit Red), intégrant un autre malware nommé StealBit, destiné au vol de données sensibles. LockBit 3.0, ou LockBit Black, est la dernière version, sortie en 2022, avec de nouvelles fonctionnalités et des techniques de contournement de sécurité avancées.
Pourquoi le système PVOIL a-t-il pu se rétablir aussi rapidement après une attaque de ransomware ?

Pourquoi le système PVOIL a-t-il pu se rétablir aussi rapidement après une attaque de ransomware ?

Outre la taille relativement réduite de son système, un facteur crucial qui a permis à PVOIL de résoudre rapidement l'attaque de ransomware et de rétablir ses opérations en quelques jours seulement a été la sauvegarde de ses données.
Développer une culture de la sécurité pour renforcer les défenses contre les attaques de ransomware.

Développer une culture de la sécurité pour renforcer les défenses contre les attaques de ransomware.

Selon CDNetworks Vietnam, en investissant dans la formation des employés, en favorisant une culture de la sécurité et en promouvant la collaboration entre les employés et les équipes de sécurité, les entreprises peuvent renforcer leurs défenses contre les cyberattaques, y compris les attaques par rançongiciel.
Le paiement d'une rançon pour la récupération des données encouragera les pirates informatiques à intensifier les attaques par rançongiciel.

Le paiement d'une rançon pour la récupération des données encouragera les pirates informatiques à intensifier les attaques par rançongiciel.

Les experts s'accordent à dire que les organisations victimes d'attaques par rançongiciel ne doivent pas payer la rançon aux pirates. Un tel paiement encouragerait ces derniers à s'attaquer à d'autres cibles ou inciterait d'autres groupes de pirates à attaquer de nouveau les systèmes de l'organisation.