Le GIGN (Groupe d’intervention de la gendarmerie nationale) négocierait avec les cyberattaquants de l’hôpital de Corbeil-Essonne, paralysé par un ransomware dans la nuit du 20 au 21 août.
Les communications se feraient via ProtonMail, une messagerie chiffrée dont le siège est à Genève (Suisse). Les gendarmes auraient ainsi réussi, selon les informations du Parisien, à faire baisser la rançon demandée de 10 milions de dollars à un peu moins de 1 millions de dollars. Les autorités ont pourtant fait savoir que les hôpitaux ne payaient jamais les rançons… Le ministre à la Transision numérique et celui de la Santé et de la Préventionl’ont fait savoir vendredi dernier. De même Vincent Trelly, le président de l’association pour la sécurité des systèmes d’information de santé (Apssis).
On peut alors s’interroger : s’agit-il d’une réelle tentative pour faire baisser la rançon ou d’une tactique pour gagner du temps et en apprendre davantage sur les attaquants et leurs techniques ?
LockBit, d’origine russophone, serait à l’origine de l’attaque
Le groupe d’attaquants LockBit, d’origine russophone, serait à l’origine de l’attaque de Corbeil-Essonne. Parmi les différents logiciels d’attaque, on va retrouver aussi Hive, Vice Society, Ragnar Locker, LockBit et encore beaucoup d’autres. “C’est un paysage technique particulièrement encombré et qui nécessite de l’ingéniosité, de sérieux et de précision dans les technologies de détection, de protection ou d’éradication », explique Julien Escribe, partner et expert en management des systèmes d’information chez ISG, cabinet mondial de conseil et de recherche en technologie.
Un groupe d’attaquants qui a renforcé ses défenses contre les forces de l’ordre et les chercheurs
Avec la chute du groupe ransomware Conti, LockBit s’est aujourd’hui positionné comme le premier groupe ransomware en activité, sur la base de son volume d’attaques au cours des derniers mois, selon Satnam Narang, Senior Staff Research Engineer chez Tenable.
En juin, le groupe aurait sorti la versions 3 de son ransomware (LockBit 3.0) avec l’introduction d’un programme de bug bounty (ndlr, chasse aux bugs) selon un rapport de Bleeping Computer. Pour l’expert de l’éditeur en cybersécurité « Il s’agit d’une invitation formelle adressée aux cybercriminels pour aider le groupe dans sa quête visant à rester au sommet. Les mesures défensives constituent un élément clé du programme de bug bounty : empêcher les chercheurs en sécurité et les forces de l’ordre de trouver des bugs dans ses sites leakés ou ses ransomwares, identifier les moyens par lesquels les membres, y compris le patron du programme d’affiliation, pourraient être doxés (ndlr, documentés, révélés), ainsi que trouver des bugs dans le logiciel de messagerie utilisé par le groupe pour les communications internes et le réseau Tor (ndlr, réseau chiffré utilisé par les pirates pour les pourparlers) lui-même. La menace d’un doxing ou d’une identification indique que les efforts de répression sont clairement une grande préoccupation pour des groupes comme LockBit. Enfin, le groupe prévoit d’offrir Zcash comme option de paiement, ce qui est significatif, car Zcash est plus difficile à tracer que Bitcoin, ce qui entrave le suivi de l’activité du groupe pour les chercheurs. » Le groupe d’attaquants fait donc le maximum pour se rendre difficile à “attraper ».
Le secteur public, une cible de choix, parmi d’autres, des acteurs malveillants
Selon un rapport récent de la Unit 32 de Palo Alto Networks, les industries les plus touchées par des attaques ransomware sont la santé, les services juridiques, la construction, le retail, et le manufacturing. Et un rapport de recherche de Barracuda sur les attaques par ransomware ayant eu lieu entre août 2021 et juillet 2022 chiffre à
1,2 millions le nombre de demandes de rançons par mois.
Julien Escribe, d’ISG, rappelle qu’en France “durant les trois premiers mois de 2022, la section J3 du parquet de Paris – spécialisée dans la cybercriminalité – a déjà ouvert 64 nouveaux dossiers (il y en a eu 483 pour l’année 2021 et 436 en 2020). »