Prévenir et "guérir" les attaques numériques : tous concernés ?

La lutte contre certains groupes de hackers malveillants, capables de s'infiltrer dans n'importe quel système informatique, est une problématique récurrente en matière de cybersécurité. Citons par exemple LockBit, connu pour ses attaques de ransomware (rançongiciel) causant des dommages considérables aux entreprises et aux gouvernements. Comment s'en protéger ? Tour d'horizon des conseils permettant d'éviter le pire.

Les rançongiciels, ou ransomwares, constituent une menace sérieuse pour les entreprises de toutes tailles, les gouvernements et même les particuliers. Ils peuvent paralyser des opérations, causer la perte de données sensibles et entraîner des coûts de récupération élevés. De plus, le paiement de la rançon ne garantit pas toujours la récupération des données, alors qu'il contribue à financer des activités criminelles. A ce titre, l'exemple du groupe de hackers LockBit est significatif.

LockBit : un groupe de cybercriminels particulièrement actifs

LockBit est un groupe de cybercriminel·les formé en septembre 2019. Célèbre pour ses attaques de rançongiciel sophistiquées, il a été impliqué dans plus de 1700 attaques à travers le monde depuis 2020. Mardi 20 février 2024, ce groupe a en partie été démantelé après une opération de police menée par Europol.

LockBit a eu un impact significatif sur les entreprises françaises.

Ce rapport, conjointement publié par l’ANSSI (Agence nationale de la sécurité des systèmes d'information), la CISA (Agence américaine de Cybersécurité et de Sécurité des Infrastructures), le FBI ainsi que plusieurs autres organisations nationales, indique aussi une forte augmentation de la présence de LockBit en France en 2022 et 2023. Le groupe est à l’origine de 27% des demandes de rançons dans l’Hexagone ces deux dernières années.

Selon le logiciel Aleph Search Dark (moteur de recherche et d’analyse sur les deep et dark webs), pas moins de 371.339 résultats de recherches mentionnaient le nom d'entreprises françaises dans les fuites LockBit. Cela représenterait 98% des entreprises du SBF 120 (un indice boursier), dont les données stratégiques auraient été volées et stockées sur les serveurs de LockBit. Parmi les entreprises qui en auraient été victimes : Thalès, le Groupe Manitou, l'Hôpital de Corbeil-Essonnes...

Pour mener aussi efficacement ses attaques, le groupe de cybercriminel·les peut compter sur un rançongiciel du même nom.

Initialement baptisé « .abcd » en référence à l’extension de fichier ajoutée aux fichiers chiffrés, le rançongiciel LockBit a été déployé pour la première fois en 2019. L’approche de LockBit inclut :

• l’analyse automatique des ressources cruciales,
• la propagation de l’infection,
• le chiffrement de tous les systèmes informatiques accessibles sur un réseau.

Son modèle économique repose sur le concept de Ransomware as a Service (RaaS) : le logiciel malveillant est vendu à d’autres opérateurs·rices pour un bénéfice financier. Les paiements de rançon sont ensuite partagés entre l’équipe de développement de LockBit et les affilié·es responsables des attaques, ces dernier·es pouvant recevoir jusqu’à 75% du montant total.

Comment prévenir les attaques de rançongiciels ?

• Veillez à installer régulièrement et systématiquement les mises à jour de sécurité. Les fabricants de smartphones sous Android ou iOS, ainsi que les systèmes d’exploitation Windows et MacOS proposent fréquemment des mises à jour de sécurité pour optimiser la protection de votre appareil (amélioration des fonctionnalités de sécurité, correctifs de sécurité, correction des failles potentielles...)
• Gardez votre antivirus à jour et paramétrez votre pare-feu. Cela permet à votre antivirus de renouveler ses bases de données pour détecter efficacement les virus récents et autres menaces potentielles.
• Soyez vigilant avec les e-mails : évitez d’ouvrir les pièces jointes ou de cliquer sur des liens douteux. Ils pourraient vous rediriger vers des sites web malveillants, introduire un virus dans votre appareil ou encore récupérer des données confidentielles.
• Évitez d’installer des applications ou des programmes provenant de sources non vérifiées : ils pourraient contenir des logiciels malveillants tels que des rançongiciels ou des chevaux de Troie.

• Évitez de visiter des sites web non sécurisés ou illégaux, en particulier ceux associés à la contrefaçon ou aux contenus illicites, car ils pourraient infecter votre appareil en y injectant du code malveillant pendant votre navigation.
• Effectuez des sauvegardes régulières de vos données afin de pouvoir les récupérer en cas de besoin, par exemple après une réinitialisation ou en cas de perte de données.
• Évitez d'utiliser un compte avec des droits d’administrateur lors de la consultation de mails ou de la navigation sur internet. Privilégiez l’utilisation d’un compte utilisateur standard pour limiter les privilèges des logiciels malveillants et isoler les menaces.
• Utilisez des mots de passe complexes et changez-les régulièrement. Évitez d’utiliser les mêmes mots de passe pour différents comptes afin de renforcer la sécurité de vos informations personnelles.
• Éteignez votre ordinateur lorsque vous ne l’utilisez pas. Cela permet d’isoler l’ordinateur du réseau, d’appliquer automatiquement certaines mises à jour et de réduire le temps d’exposition de l’ordinateur aux menaces potentielles, le rendant ainsi moins vulnérable.

Cet ensemble de mesure permet de prévenir, autant que possible, les cyberattaques - et de limiter leur portée si elles se produisent.

Que faire en cas d'attaque ?

Dès que vous prenez conscience que vous avez subi une attaque :

• Déconnectez-vous d’Internet. Cela permet d’isoler votre ordinateur du réseau et de restreindre l’activité du logiciel malveillant. Le rançongiciel ne peut plus communiquer avec ses serveurs de commande, ce qui limite sa capacité à chiffrer davantage de données.
• Évitez de payer la rançon. Non seulement cela ne vous garantit pas que vous récupérerez vos données, mais cela contribue également à financer les groupes de hackers.
• Signalez l’attaque aux autorités compétentes et déposez une plainte. Enquêter sur l’incident peut aboutir à prendre des mesures contre les cybercriminel·les.

Le dépôt de plainte doit intervenir avant la réinstallation des appareils touchés, de manière à conserver les preuves techniques de l’incident et pouvoir les fournir aux enquêteurs.

• Identifiez la source de l’infection. Cela pourrait être dû à l’ouverture d’une pièce jointe suspecte ou au téléchargement d’un logiciel provenant d’une source non fiable. Une fois la source identifiée, prenez des mesures pour éviter qu’une telle infection ne se reproduise à l’avenir.
• Assurez-vous que votre antivirus est à jour et effectuez une analyse complète de votre ordinateur. Les logiciels antivirus modernes sont capables de détecter une grande variété de menaces et peuvent être un outil précieux pour sécuriser votre système.
• Si vous êtes victime d’un rançongiciel, essayez de trouver une solution pour déchiffrer vos fichiers. Le site No More Ransom (disponible en français) est une ressource qui peut fournir des outils de déchiffrement pour certains types de rançongiciels. Cette initiative du National High Tech Crime Unit de la police néerlandaise, du European Cybercrime Centre basé à Europol, Kaspersky et de McAfee, a pour objectif d'"d'aider les victimes des rançongiciels à retrouver leurs données chiffrées sans avoir à payer les criminels."
• Réinitialisez les systèmes touchés en cas de doute. Cela implique le formatage des disques ou serveurs infectés par le rançongiciel. Après cela, vous pouvez restaurer vos données à partir d’une sauvegarde préalablement effectuée.
• Demander l’aide de professionnel·les si vous vous sentez dépassé·e.

Références :

• CISA - Understanding Ransomware Threat Actors: LockBit
• Cybermalveillance.gouv - Rançongiciel ou ransomware, que faire ?
• Cybermailveillance.gouv - Les bonnes pratiques
• No More Ransom - Aider les victimes des rançongiciels à retrouver leurs données chiffrées sans avoir à payer les criminels

[Photo de couverture : FlyD]

Soutenez-nous en partageant l'article :