Le rançongiciel Lockbit fait la une ces dernières semaines. Mais ce virus n’est pas nouveau. Apparu en septembre 2019, il était surnommé le « virus abcd » en référence au nom de l’extension de fichier utilisée lors du chiffrement des fichiers des victimes.

En seulement trois ans, le rançongiciel Lockbit s’est imposé comme l’un des virus les plus agressifs. À ce jour, il aurait mené plus de 1200 attaques visant principalement les organismes gouvernementaux d’importance vitale (OIV) et de services essentiels (OSE).

La caractéristique la plus distinctive du virus Lockbit se situe au niveau de sa propagation :  automatique et à grande vitesse (6 minutes pour chiffrer les données soit  17000 fichiers par minute).

Le virus Lockbit s’apparente à un ransomware en tant que service (Ransomware as a service). Cela signifie qu’il est possible de louer une attaque personnalisée et d’en récupérer les bénéfices. Le butin est ensuite réparti entre les développeurs du Lockbit et les opérateurs.

Les attaques par Lockbit se déroulent en trois phases :

1. L’exploitation du système pour repérer des failles ;
2. L’infiltration pour configurer le système à sa guise afin de faciliter son extension ;
3. Le déploiement de chiffrement à travers tous les équipements.

Que faire en cas d’infection ?

La simple suppression du ransomware Lockbit ne sera pas une solution pour retrouver l’accès à vos fichiers. Une clé spécifique sera nécessaire pour restaurer votre système. Vous pourrez restaurer vous-même vos systèmes en créant de nouvelles images système dans le cas où vous disposez d’images de sauvegarde pré-infection déjà créées.

Que faire pour vous prémunir ?

Il faudra, à terme, configurer des mesures de protection pour garantir que votre entreprise résiste aux attaques malveillantes et aux ransomwares. Voici quelques conseils pratiques pour vous aider à vous préparer :

• Implémentez des mots de passe forts. De nombreuses violations de comptes surviennent en raison de mots de passe trop simples à découvrir pour un algorithme après quelques jours d’analyse. Choisissez un mot de passe sécurisé, long, comportant différents caractères et utilisant des règles personnelles pour créer des phrases de chiffrement.
• Activez l’authentification multi-facteur. Prévenez les attaques par force brute en ajoutant des niveaux à vos identifiants initiaux basés sur des mots de passe. Dans la mesure du possible, incluez des mesures comme la biométrique ou les authentificateurs via clés USB physiques sur l’ensemble de vos systèmes.
• Réévaluez et simplifiez les autorisations de comptes utilisateurs. Limitez les autorisations à des niveaux plus stricts pour réduire le nombre de menaces potentielles. Prêtez particulièrement attention aux éléments accessibles par les utilisateurs de terminaux et les comptes informatiques avec des autorisations de niveau administrateur. Les domaines Web, les plateformes collaboratives, les services de réunion Web et les bases de données d’entreprise doivent être sécurisés.
• Supprimez les comptes utilisateurs obsolètes et inutilisés. Certains anciens systèmes contiennent parfois des comptes de salariés qui ont quitté l’entreprise, qui n’ont jamais été désactivés ni fermés. Assurez-vous que vos systèmes incluent l’élimination de ces failles potentielles.
• Assurez-vous que les configurations système sont conformes à toutes les procédures de sécurité. Cela peut prendre du temps, mais la vérification des configurations existantes peut permettre d’identifier de nouveaux problèmes et des politiques obsolètes qui exposent votre entreprise à un risque d’attaque. Les procédures opérationnelles standard doivent être réévaluées régulièrement pour faire face aux nouvelles cybermenaces.
• Disposez toujours de sauvegardes de l’ensemble du système et d’images machine locales propres déjà prêtes. Des incidents se produiront et la copie hors ligne constituera l’unique véritable protection contre la perte définitive des données. Votre entreprise doit régulièrement créer des sauvegardes, à actualiser en cas de modifications majeures apportées à vos systèmes. Si une sauvegarde est corrompue par un programme malveillant, pensez à disposer de plusieurs points de sauvegarde pour pouvoir sélectionner une période propre.

L’équipe MSS (Managed Security Services) de SERMA Safety and Security est en mesure de prévenir, détecter et réagir face aux menaces informatiques comme le ransomware Lockbit. Grâce à notre service managé et notre SOC, nous collectons, corrélons et analysons au travers de différentes solutions SIEM les événements générés par les terminaux (poste de travail, serveurs, firewalls, serveurs DNS…). Ainsi, les attaques comme Lockbit sont détectées et nous limitons au maximum sa propagation grâce à notre équipe de réponse aux incidents de sécurité.