À quel point le ransomware Lockbit 3.0 qui attaque VNDIRECT est-il dangereux ?

Publication du rapport d'analyse du ransomware LockBit 3.0

Au cours des trois semaines allant du 24 mars à la première semaine d'avril de cette année, le cyberespace vietnamien a enregistré des attaques ciblées consécutives sous forme de ransomware sur de grandes entreprises vietnamiennes opérant dans des domaines importants tels que la finance, les valeurs mobilières, l'énergie, les télécommunications, etc. Ces attaques ont provoqué la suspension des systèmes des entreprises pendant un certain temps, causant des dommages économiques et de réputation importants aux unités dont les systèmes ont été ciblés par des groupes cybercriminels.

Au cours du processus d'analyse et d'enquête sur les causes et les groupes de sujets qui ont récemment attaqué les systèmes d'information des entreprises vietnamiennes, les autorités ont découvert que ces incidents étaient les « produits » de nombreux groupes d'attaque différents tels que LockBit, BlackCat, Mallox... En particulier, avec l'attaque par ransomware sur le système VNDIRECT à 10h00 le 24 mars, qui a crypté toutes les données des entreprises du top 3 du marché boursier vietnamien, les autorités ont identifié le groupe LockBit avec le malware LockBit 3.0 comme étant à l'origine de cet incident.

Partout dans le monde , le groupe LockBit a lancé de nombreuses attaques de rançongiciels ciblant de grandes entreprises et organisations. Par exemple, en juin et octobre 2023, ce groupe de rançongiciels notoire a attaqué le fabricant de semi-conducteurs TSMC (Taïwan, Chine) et la société de produits et services informatiques CDW, exigeant des entreprises des rançons allant jusqu'à 70 à 80 millions de dollars pour les données.

Dans le but d'aider les agences, les organisations et les entreprises au Vietnam à mieux comprendre le niveau de danger et comment prévenir et minimiser les risques liés aux attaques de ransomware en général ainsi qu'aux attaques du groupe LockBit, le Centre national de surveillance de la cybersécurité - NCSC sous le Département de la sécurité de l'information (Ministère de l'information et des communications) vient de synthétiser les sources d'information sur le cyberespace et de publier le « Rapport d'analyse sur le ransomware LockBit 3.0 ».

Le groupe de ransomware le plus dangereux au monde

Le nouveau rapport réalisé par le NCSC se concentre sur la fourniture de 4 contenus principaux, notamment : Informations sur le groupe d'attaque du ransomware LockBit ; Clusters LockBit actifs ; Liste des indicateurs de cyberattaque enregistrés liés à LockBit 3.0 ; Comment prévenir et minimiser les risques d'attaques de ransomware.

Identifiant LockBit comme l'un des groupes de rançongiciels les plus dangereux au monde, le rapport du NCSC indique également que, depuis sa première apparition en 2019, LockBit a mené de nombreuses attaques ciblant des entreprises et des organisations de divers secteurs. Le groupe opère selon un modèle de « Ransomware-as-a-Service » (RaaS), permettant aux acteurs malveillants de déployer des rançongiciels et de partager les profits avec les acteurs à l'origine du service.

Notamment, en septembre 2022, le code source de LockBit 3.0, incluant certains noms susceptibles d'être utilisés pour développer ce ransomware, a été divulgué par un individu nommé « ali_qushji » sur la plateforme X (anciennement Twitter). Cette fuite a permis aux experts d'analyser plus en détail l'échantillon de ransomware LockBit 3.0, mais depuis, les acteurs malveillants ont créé une vague de nouvelles variantes de ransomware basées sur le code source de LockBit 3.0.

Outre l'analyse des méthodes d'attaque des groupes actifs de rançongiciels LockBit, tels que TronBit, CriptomanGizmo ou Tina Turnet, le rapport du NCSC fournit également aux unités une liste des indicateurs de cyberattaque liés à LockBit 3.0 qui ont été enregistrés. « Nous mettrons régulièrement à jour les informations sur les indicateurs du CIO sur la page alert.khonggianmang.vn du portail national du cyberespace », a déclaré un expert du NCSC.

Un point particulièrement important du rapport d'analyse du rançongiciel LockBit 3.0 est le contenu qui guide les agences, organisations et entreprises sur la prévention et la réduction des risques liés aux attaques de rançongiciels. Des notes importantes pour aider les unités vietnamiennes à prévenir et à répondre aux attaques de rançongiciels ont été mentionnées par le Département de la sécurité de l'information dans le « Manuel sur certaines mesures de prévention et de réduction des risques liés aux attaques de rançongiciels » publié le 6 avril, et leur mise en œuvre continue d'être recommandée par les experts du NCSC.

Selon les experts, les attaques par rançongiciels actuelles partent souvent d'une faille de sécurité d'une agence ou d'une organisation. Les attaquants pénètrent dans le système, maintiennent leur présence, étendent la portée de l'intrusion, contrôlent l'infrastructure informatique de l'organisation et paralysent le système, dans le but de contraindre les organisations réellement victimes à payer une rançon pour récupérer leurs données chiffrées.

Partageant avec les journalistes de VietNamNet au moment où l'attaque sur le système VNDIRECT s'est produite il y a 5 jours, du point de vue de l'unité participant à la coordination des activités de soutien à la réponse aux incidents, un représentant du Département de la sécurité de l'information a commenté : Cet incident est une leçon importante pour sensibiliser à la sécurité et à la sûreté du réseau des organisations et des entreprises au Vietnam.

Par conséquent, les agences, les organisations et les entreprises, en particulier celles qui opèrent dans des domaines importants tels que la finance, la banque, les valeurs mobilières, l’énergie, les télécommunications, etc., doivent de toute urgence et de manière proactive revoir et renforcer les systèmes de sécurité existants et le personnel professionnel, et en même temps élaborer des plans de réponse aux incidents.

« Les organisations doivent se conformer strictement aux réglementations, exigences et directives en matière de sécurité de l'information et de sécurité des réseaux. Il est de la responsabilité de chaque organisation et entreprise de se protéger et de protéger ses clients contre d'éventuelles cyberattaques », a souligné un représentant du Département de la sécurité de l'information.

Pourquoi le système PVOIL peut-il récupérer rapidement après une attaque de ransomware ?

Outre la taille pas si grande du système, un facteur important pour que PVOIL puisse rapidement corriger l'attaque du ransomware et restaurer les opérations après seulement quelques jours est la sauvegarde des données.

Créer une culture de sécurité pour renforcer les défenses contre les attaques de ransomware

Selon CDNetworks Vietnam, en investissant dans la formation des employés, en créant une culture de sécurité et en favorisant la coopération entre les employés et l'équipe de sécurité, les entreprises peuvent renforcer leurs défenses contre les cyberattaques, y compris les attaques par ransomware.

Le paiement des rançons encouragera les pirates à multiplier les attaques de ransomware

Les experts s'accordent à dire que les organisations attaquées par un rançongiciel ne devraient pas payer la rançon aux pirates. Cela encouragerait ces derniers à attaquer d'autres cibles ou encouragerait d'autres groupes de pirates à poursuivre leurs attaques.