Indigo Books & Music a indiqué que l’attaque avait déployé LockBit, un logiciel malveillant qui apparaît de plus en plus dans les failles de sécurité numérique. (Photo: La Presse Canadienne)
Toronto — La chaîne de librairies Indigo Books & Music a révélé cette semaine qu’une panne massive des systèmes à laquelle elle était confrontée depuis près d’un mois avait été déclenchée par un rançongiciel.
Le détaillant, qui a perdu l’accès à son site Web et à ses capacités de paiement, a indiqué que l’attaque avait déployé LockBit, un logiciel malveillant qui apparaît de plus en plus dans les failles de sécurité numérique.
Qu’est-ce que LockBit?
LockBit est à la fois un groupe de cyberattaques et un logiciel malveillant utilisé pour mener des attaques criminelles.
Le groupe fonctionne comme une entreprise de rançongiciel en tant que service, où les équipes développent des logiciels malveillants qui sont concédés sous licence à des réseaux affiliés, qui les utilisent pour mener des attaques, explique Sumit Bhatia, directeur de l’innovation et des politiques chez Rogers Cybersecure Catalyst à l’Université métropolitaine de Toronto.
Le site Web de la société de logiciels de sécurité BlackBerry indique que le logiciel malveillant LockBit infiltre les réseaux de ses cibles par le biais de vulnérabilités non corrigées, d’accès privilégiés et d’attaque du jour zéro — des failles dans le logiciel découvertes avant que la société qui l’a créé ne réalise le problème, leur donnant «zéro jour» pour le résoudre.
LockBit est alors capable d’établir le contrôle du système d’une victime, de collecter des informations sur le réseau et de voler ou de crypter des données, selon le site.
«Les attaques LockBit utilisent généralement une double tactique d’extorsion pour encourager les victimes à payer, d’abord, pour retrouver l’accès à leurs fichiers cryptés, puis à payer à nouveau pour empêcher que leurs données volées ne soient rendues publiquement», explique BlackBerry.
À quel point LockBit est-il prolifique?
LockBit a demandé au moins 100 millions $ en rançon et extrait des dizaines de millions de dollars de paiements aux victimes, selon un document judiciaire déposé dans le district du New Jersey dans une affaire de 2022 contre un membre présumé de LockBit.
LockBit est apparu dès janvier 2020 et ses membres ont depuis exécuté au moins 1000 attaques contre des victimes aux États-Unis et dans le monde, selon le document.
Qui est derrière LockBit?
C’est une question délicate, selon M. Bhatia, car «ces gens opèrent dans l’ombre».
«Mais ce que nous comprenons en grande partie, c’est qu’il existe un lien solide avec la Russie et les anciens membres de la communauté russe, qui ne sont peut-être plus nécessairement établis en dehors de la Russie, mais pourraient opérer à partir d’une série d’endroits différents à travers l’Europe, et former une partie de ce vaste réseau que LockBit a lancé», ajoute-t-il.
Cela signifie que les membres de LockBit peuvent être situés n’importe où dans le monde. En novembre, par exemple, le ministère américain de la Justice a inculpé Mikhail Vasiliev, ayant les citoyennetés russe et canadienne, pour sa participation présumée à une campagne de rançongiciel LockBit.
La cyberattaque d’Indigo a-t-elle été menée par l’équipe de LockBit ou quelqu’un utilisant le logiciel LockBit?
Indigo a déclaré que son réseau était «accessible par des criminels (présumés) qui ont déployé un rançongiciel connu sous le nom de LockBit», mais a ajouté qu’il ne savait pas précisément qui était derrière l’attaque.
Quels sont les autres endroits où LockBit a été impliqué?
L’Hôpital pour enfants malades de Toronto a subi une attaque de rançongiciel en décembre qui a affecté ses opérations. LockBit a affirmé que l’un de ses partenaires avait mené l’attaque, pour laquelle le groupe s’est finalement excusé, affirmant que les attaques contre les hôpitaux enfreignaient ses règles.
Parmi les autres victimes de LockBit figurent l’opérateur postal Royal Mail au Royaume-Uni, le groupe technologique français Thales et l’Autorité portuaire de Lisbonne au Portugal.
Que peuvent faire les entreprises pour éviter d’être victimes d’une attaque LockBit?
LockBit s’appuie principalement sur les attaques par hameçonnage, explique M. Bhatia.
L’hameçonnage commence généralement par des courriels ou des messages textes frauduleux destinés à donner l’impression qu’ils ont été envoyés par une entreprise digne de confiance. Ils dupent souvent les gens pour qu’ils saisissent des informations confidentielles telles que des mots de passe sur un site Web frauduleux ou téléchargent des logiciels malveillants sur un ordinateur ayant accès au réseau d’une entreprise.
«Les rançongiciels, en particulier par le biais de l’hameçonnage, se résument souvent à l’élément humain», affirme M. Bhatia.
Cela signifie que la meilleure façon de l’arrêter est de s’assurer que le personnel est prudent et comprend comment examiner les liens et les messages qu’ils reçoivent pour éviter les escroqueries.
«C’est vraiment comprendre comment être à l’affût de quelque chose qui est considéré comme suspect», précise M. Bhatia.
Est-ce une bonne idée de payer les attaquants pour accéder à votre système ou décrypter des données et des fichiers si vous êtes attaqué par un rançongiciel?
«Du point de vue de l’application de la loi, les organisations sont encouragées à ne pas payer et c’est… parce que vous n’êtes pas vraiment assurés, même après avoir payé, que vous ne serez pas affectés négativement», souligne M. Bhatia.
«Vous ne pouvez pas vraiment compter sur les engagements pris par ces attaquants.»
Les autorités découragent également de payer, car cela encourage les criminels à poursuivre leurs attaques et propage un cycle, ajoute-t-il.
Cependant, il a noté que «les petites entreprises n’ont pas toujours le luxe de ne pas payer ou celles qui travaillent avec des secteurs critiques, où l’accès à ces données ou l’accès à ces systèmes est critique et peut avoir un effet négatif grave».
Indigo a refusé de payer ses attaquants, qui, selon l’entreprise, prévoyaient de publier sur le Web clandestin — aussi appelé «dark Web» — les données des employés qu’elle a volées.
«Les commissaires à la protection de la vie privée ne pensent pas que le paiement d’une rançon protège ceux dont les données ont été volées, car il n’y a aucun moyen de garantir la suppression/protection des données une fois la rançon payée», a précisé Indigo sur son site Internet.
«De plus, nous ne pouvons pas être assurés que tout paiement de rançon ne se retrouvera pas entre les mains de terroristes ou d’autres personnes figurant sur des listes de sanctions.»