Un autre jour, un autre épisode de la saga LockBit. Le dernier développement de l'histoire sans fin opposant les gangs cybercriminels aux forces de l'ordre est presque digne d'une série télévisée à part entière. Mais qu'est-ce que cela signifie pour vous, la personne qui doit défendre votre organisation et maintenir sa capacité à fonctionner au milieu de tout ce chaos ?
Lecture connexe : Combler les lacunes en matière de sécurité AD
Le gang derrière le rideau
Le récent échange de déclarations publiques entre LockBit, l'Agence nationale britannique de lutte contre la criminalité (NCA) et ses partenaires, dont le ministère américain de la justice et le Federal Bureau of Investigations, semble relever du jeu de l'esprit. Quoi qu'il en soit, l'évolution de la situation nous permet de jeter un nouveau coup d'œil derrière le rideau de l'activité cybercriminelle.
Les cybercriminels opèrent comme n'importe quelle autre organisation. Ils ont des fournisseurs et des chaînes d'approvisionnement, comme n'importe quelle entreprise. Et comme dans toute transaction commerciale, ces relations reposent sur une certaine confiance. Bien entendu, dans le monde du crime, la confiance est une monnaie chère.
Ce sentiment tordu de fierté d'entreprise se reflète dans la déclaration de LockBitSupp, la personne qui serait à l'origine de l'opération LockBit.
Je trouve l'accent intéressant : "... je suis sur la bonne voie", affirme LockBitSupp, et "... aucun piratage ... ne peut empêcher une entreprise de prospérer". L'auteur affirme être dans le domaine du "pentest avec postpaid", ce qui fait que les activités criminelles de LockBit en matière de ransomware semblent presque légitimes.
Cela montre que la cybercriminalité est une opération bien organisée. C'est pourquoi nous avons besoin d'une défense bien organisée pour la combattre.
Une bataille sans fin
La lutte entre défenseurs et adversaires est un combat de tous les instants. Comme nous l'avons vu dans les cas précédents, ce n'était qu'une question de temps avant que le groupe ne refasse surface dans son intégralité sous un nouveau nom ou que ses membres ne rejoignent d'autres groupes de ransomware. Mais peu de spécialistes de la cybersécurité pensaient qu'ils réapparaîtraient aussi vite.
Il ne faut pas s'y tromper : Le fléau des ransomwares de ces cinq dernières années a attiré l'attention de la CISA, de la NCA, d'Interpol, du FBI et d'autres organismes internationaux chargés de l'application de la loi. Leur lutte quotidienne pour mettre un terme aux actions illégales de LockBit, BlackBasta, CLOP, ALPHV et de nombreux autres gangs se poursuit sérieusement.
Pourtant, LockBit s'avère être un serpent à deux têtes. Bien que la saisie mondiale de ses actifs la semaine dernière ait été une réussite majeure pour les forces de l'ordre, le groupe n'a pas tardé à reprendre ses activités. Avec plus de 100 millions de dollars volés (selon les forces de l'ordre), le groupe a les moyens et la motivation de "revenir aux affaires" dès que possible. Il n'allait certainement pas disparaître discrètement après avoir été mis dans l'embarras par un contingent d'organismes mondiaux chargés de l'application de la loi.
Comme toujours, nous rappelons à nos clients qu'ils doivent garder à l'esprit l'idée de "supposer une brèche". Les activités cybercriminelles ne s'arrêtent pas et ne ralentissent pas. Il ne faut jamais baisser la garde face aux acteurs de la menace. Pour protéger vos employés, vos clients et vos partenaires, il est essentiel de mettre en place une résilience opérationnelle, y compris un plan de sauvegarde et de récupération qui donne la priorité aux actifs critiques tels que l'infrastructure d'identité.
Alors, que pouvez-vous faire ?
La plupart des organisations savent qu'il n'est pas rentable de payer des rançons. Mais pour pouvoir faire un choix, vous avez besoin d'un plan qui vous offre d'autres options. Le renforcement de la résilience organisationnelle et opérationnelle de votre écosystème numérique vous permet de riposter et de supprimer la récompense dont dépendent les gangs de ransomwares criminels. Voici à quoi ressemble le renforcement de la résilience :
- Identifiez et évaluez immédiatement vos systèmes critiques. Incluez les infrastructures telles que Active Directory (AD) et les autres référentiels d'identité ; 9 cyberattaques sur 10 ciblent AD.
- Opérer avec un état d'esprit de "présomption de violation". Si vous trouvez un système compromis ou une activité malveillante (telle que l'interception de mots de passe), supposez qu'il y en a d'autres que vous n'avez pas découverts.
- Surveillez les changements non autorisés dans votre infrastructure d'identité (par exemple, AD, Entra ID, Okta).
- Maintenir une visibilité en temps réel sur les changements apportés aux comptes et aux groupes du réseau.
- Sauvegardez continuellement vos systèmes d'identité en gardant à l'esprit l'approche cybernétique, ce qui permet une récupération rapide et sans logiciels malveillants.
- Conservez une copie de tout environnement compromis afin de pouvoir mener une enquête médico-légale complète.
Le fléau des ransomwares ne doit pas paralyser les organisations. Avec une planification adéquate et une approche organisationnelle de la sécurisation des actifs critiques, vous pouvez regarder le drame se dérouler plutôt que de vous y laisser entraîner.
