Publication du rapport d'analyse du ransomware LockBit 3.0
Durant les trois semaines allant du 24 mars à la première semaine d'avril de cette année, le cyberespace vietnamien a enregistré des attaques ciblées consécutives sous forme de ransomware sur de grandes entreprises vietnamiennes opérant dans des domaines importants tels que la finance, les valeurs mobilières, l'énergie, les télécommunications, etc. Ces attaques ont entraîné la suspension des systèmes des entreprises pendant un certain temps, causant des dommages économiques et de réputation importants aux unités dont les systèmes ont été ciblés par des groupes cybercriminels.
Français Au cours du processus d'analyse et d'enquête sur les causes et les groupes de sujets qui ont récemment attaqué les systèmes d'information des entreprises vietnamiennes, les autorités ont découvert que ces incidents étaient les « produits » de nombreux groupes d'attaque différents tels que LockBit, BlackCat, Mallox... En particulier, avec l'attaque par ransomware sur le système VNDIRECT à 10h00 du matin le 24 mars, qui a crypté toutes les données des entreprises du top 3 du marché boursier vietnamien, les autorités ont identifié le groupe LockBit avec le malware LockBit 3.0 comme étant à l'origine de cet incident.
Partout dans le monde, le groupe LockBit a lancé de nombreuses attaques de ransomware ciblant les grandes entreprises et organisations. Par exemple, en 2023, respectivement en juin et en octobre, ce groupe de ransomware notoire a attaqué la société de fabrication de semi-conducteurs TSMC (Taïwan, Chine) et la société de produits et services informatiques CDW, avec un montant de rançon de données que le groupe Lockbit a exigé des entreprises de payer jusqu'à 70 à 80 millions USD.
Avec le désir d'aider les agences, organisations et entreprises au Vietnam à mieux comprendre le niveau de danger et comment prévenir et minimiser les risques d'attaques de ransomware en général ainsi que les attaques du groupe LockBit, le Centre national de surveillance de la cybersécurité - NCSC sous le Département de la sécurité de l'information (ministère de l'Information et des Communications) vient de synthétiser les sources d'informations sur le cyberespace et de publier le « Rapport d'analyse sur le ransomware LockBit 3.0 ».
Le groupe de ransomware le plus dangereux au monde
Le nouveau rapport réalisé par le NCSC se concentre sur la fourniture de 4 contenus principaux, notamment : des informations sur le groupe d'attaque du ransomware LockBit ; Les clusters LockBit sont actifs ; Une liste d’indicateurs de cyberattaque liés à LockBit 3.0 a été notée ; Comment prévenir et minimiser les risques d’attaques de ransomware.
En spécifiant LockBit comme l'un des groupes de ransomware les plus dangereux au monde, le rapport du NCSC indique également que depuis sa première apparition en 2019, LockBit a mené de nombreuses attaques ciblant des entreprises et des organisations dans de nombreux domaines différents. Le groupe opère selon un modèle « Ransomware-as-a-Service (RaaS) », permettant aux acteurs malveillants de déployer des ransomwares et de partager les bénéfices avec ceux qui se trouvent derrière le service.
Notamment, en septembre 2022, le code source de LockBit 3.0, comprenant certains noms qui pourraient être utilisés pour développer ce ransomware, a été divulgué par un individu nommé « ali_qushji » sur la plateforme X (anciennement Twitter). La fuite a permis aux experts d'analyser plus en détail l'échantillon de ransomware LockBit 3.0, mais depuis lors, les acteurs de la menace ont créé une vague de nouvelles variantes de ransomware basées sur le code source de LockBit 3.0.
En plus d'analyser les méthodes d'attaque des clusters de ransomware LockBit actifs tels que TronBit, CriptomanGizmo ou Tina Turnet, le rapport du NCSC fournit également aux agences une liste d'indicateurs de cyberattaque liés à LockBit 3.0 qui ont été enregistrés. « Nous mettrons continuellement à jour les informations sur les indicateurs du CIO sur la page alert.khonggianmang.vn du portail national du cyberespace », a déclaré un expert du NCSC.
Une partie particulièrement importante mentionnée dans le « Rapport d'analyse du ransomware LockBit 3.0 » est le contenu qui guide les agences, les organisations et les entreprises sur la manière de prévenir et de minimiser les risques liés aux attaques de ransomware. Des notes importantes pour aider les unités au Vietnam à prévenir et à répondre aux attaques de ransomware ont été énoncées par le Département de la sécurité de l'information dans le « Manuel sur certaines mesures pour prévenir et minimiser les risques d'attaques de ransomware » publié le 6 avril, et continuent d'être recommandées pour mise en œuvre par les experts du NCSC.
Selon les experts, les attaques de ransomware actuelles partent souvent d’une faiblesse de sécurité d’une agence ou d’une organisation. Les attaquants s'infiltrent dans les systèmes, maintiennent leur présence, étendent leur portée, contrôlent l'infrastructure informatique de l'organisation et paralysent le système, dans le but de forcer les véritables organisations victimes à payer une rançon si elles veulent récupérer des données cryptées.
Partageant avec les journalistes de VietNamNet au moment où l'attaque sur le système VNDIRECT s'est produite il y a 5 jours, du point de vue de l'unité participant à la coordination des activités de soutien à la réponse aux incidents, un représentant du Département de la sécurité de l'information a commenté : Cet incident est une leçon importante pour sensibiliser à la sûreté et à la sécurité des réseaux des organisations et des entreprises au Vietnam.
Par conséquent, les agences, organisations et entreprises, en particulier celles qui opèrent dans des domaines importants tels que la finance, la banque, les valeurs mobilières, l’énergie, les télécommunications, etc., doivent de toute urgence et de manière proactive revoir et renforcer à la fois les systèmes de sécurité existants et le personnel professionnel, et en même temps élaborer des plans de réponse aux incidents.
« Les organisations doivent se conformer strictement aux réglementations, exigences et directives en matière de sécurité de l’information et de sécurité du réseau qui ont été émises. « Il est de la responsabilité de chaque organisation et entreprise de se protéger et de protéger ses clients contre d'éventuelles cyberattaques », a souligné un représentant du Département de la sécurité de l'information.
| Le ransomware LockBit était d'abord connu sous le nom d'ABCD d'après l'extension de fichier crypté, et après quelques mois, une variante d'ABCD est apparue avec le nom actuel Lockbit. Un an plus tard, le groupe a publié une version améliorée LockBit 2.0 (également connue sous le nom de LockBit Red), qui comprenait un autre malware intégré appelé StealBit dans le but de voler des données sensibles. LockBit 3.0, également connu sous le nom de LockBit Black, est la dernière version, à venir en 2022 avec de nouvelles fonctionnalités et des techniques d'évasion de sécurité améliorées. |
Pourquoi le système PVOIL peut-il récupérer rapidement après une attaque de ransomware ?
Créer une culture de sécurité pour renforcer les défenses contre les attaques de ransomware
Le paiement des rançons encouragera les pirates à multiplier les attaques de ransomware
Source
![[Photo] Le Premier ministre Pham Minh Chinh préside une conférence gouvernementale avec les localités sur la croissance économique](https://vstatic.vietnam.vn/vietnam/resource/IMAGE/2025/2/21/f34583484f2643a2a2b72168a0d64baa)
Comment (0)