Les autorités américaines et internationales de cybersécurité ont déclaré dans un avis conjoint sur le rançongiciel LockBit que le gang avait réussi à extorquer environ 91 millions de dollars à la suite d’environ 1 700 attaques contre des organisations américaines depuis 2020.
Cette opération Ransomware-as-a-Service (RaaS) était la principale menace mondiale de ransomware en 2022, avec le plus grand nombre de victimes revendiquées sur leur site de fuite de données, ont déclaré les autorités américaines et leurs partenaires internationaux en Australie, au Canada, au Royaume-Uni, Allemagne, France et Nouvelle-Zélande.
Selon les rapports reçus par le MS-ISAC tout au long de l’année dernière, environ 16 % des incidents de ransomware affectant les gouvernements des États, des collectivités locales, des tribus et des tribunaux (SLTT) étaient des attaques LockBit.
Lors de ces incidents, les affiliés de LockBit ont ciblé les gouvernements municipaux, les gouvernements de comté, les établissements publics d’enseignement supérieur, les écoles K-12 et les services d’urgence tels que les forces de l’ordre.
« En 2022, LockBit était la variante de ransomware la plus déployée dans le monde et continue d’être prolifique en 2023 », prévient l’avis conjoint.
« Depuis janvier 2020, les affiliés utilisant LockBit ont attaqué des organisations de différentes tailles dans un éventail de secteurs d’infrastructures critiques, notamment les services financiers, l’alimentation et l’agriculture, l’éducation, l’énergie, les services gouvernementaux et d’urgence, les soins de santé, la fabrication et les transports. »
L’avis d’aujourd’hui comprend une liste d’environ 30 outils gratuits et open source et une cartographie détaillée MITRE ATT&CK de plus de 40 tactiques, techniques et procédures (TTP) utilisées par les affiliés de LockBit lors d’attaques.
Les autorités de cybersécurité ont partagé les vulnérabilités et expositions communément observées (CVE) exploitées par LockBit et une exploration approfondie de la trajectoire évolutive de l’opération LockBit RaaS depuis sa première apparition en septembre 2019.
L’avis conjoint fournit également des mesures d’atténuation recommandées pour aider les défenseurs à contrecarrer l’activité de LockBit ciblant leurs organisations.
« Le FBI encourage toutes les organisations à examiner ce CSA et à mettre en œuvre les mesures d’atténuation recommandées pour mieux se défendre contre les acteurs de la menace utilisant LockBit. Si vous pensez être victime d’un cybercrime, veuillez contacter votre bureau local du FBI », a déclaré Bryan Vorndran, Directeur adjoint de la Cyber Division du FBI, aujourd’hui.
Le ransomware LockBit est apparu en septembre 2019 en tant qu’opération de ransomware en tant que service (RaaS) et a refait surface sous le nom de LockBit 2.0 RaaS en juin 2021 en réponse à l’interdiction des groupes de ransomwares sur les forums de cybercriminalité.
Dans une alerte flash de février 2022, le FBI a partagé les indicateurs de compromission de LockBit et a conseillé aux victimes de signaler de toute urgence toute attaque LockBit.
Plusieurs mois plus tard, LockBit 3.0 a été dévoilé avec des mises à niveau remarquables telles que les options de paiement en crypto-monnaie Zcash, des tactiques d’extorsion innovantes et le premier programme de primes de bogues de ransomware.
Depuis lors, LockBit a fait plusieurs victimes de grande envergure dans le monde, notamment le géant automobile Continental, le fisc italien, la Royal Mail britannique et la ville d’Oakland.