Une ville canadienne attaque par le ransomware LockBit. Les oprateurs exigent le paiement d’une ranon, sous peine de divulguer les donnes de la ville

Les attaques de ransomwares sont en augmentation. Cette fois-ci, la petite ville de St. Marys, en Ontario, au Canada, a t cible. L’organisation du ransomware derrire l’attaque semble tre LockBit. Jusqu’ prsent, aucune ranon n’a t paye. La ville elle-mme affirme que la plupart des fonctions de la ville sont toujours oprationnelles et que le personnel travaille et est toujours pay.

Lors de la visite du site Web officiel de la ville, les visiteurs sont accueillis par une grande bote de dialogue rouge dans laquelle il est indiqu ceci :

La ville de St. Marys enqute actuellement sur un incident de cyberscurit qui a verrouill notre serveur interne et chiffr nos donnes. Nous travaillons en troite collaboration avec des experts en cyberscurit pour enquter sur la source de l’incident, restaurer nos donnes de sauvegarde et valuer les impacts sur nos informations, le cas chant .

Capture d’cran de la page d’avis du site Web de la ville de St. Marys

Nous avons une quipe qualifie et comptente compose d’employs de la Ville, d’experts en cyberscurit et de conseillers juridiques qui travaillent 24 heures sur 24 pour rsoudre tout problme li cet incident. J’ai pleinement confiance en notre quipe et je tiens assurer au public que la protection de leur vie prive est notre priorit , a indiqu le maire, Al Strathdee, dans un communiqu de presse avec lequel les visiteurs sont accueillis aprs la fermeture de la grande bote de dialogue rouge.

Toujours selon le communiqu de presse, la ville de St. Marys, malgr le fait qu’elle subisse une attaque de ransomware, a dclar que toutes les principales fonctions de la ville marchent toujours normalement, y compris le transport en commun et le traitement de l’eau.

Ce n’est que le dernier d’une longue ligne d’organisations et de municipalits qui ont rcemment t en proie des ransomwares. Selon un rapport publi en mars de cette anne, IC3, la branche du groupe de travail Internet du FBI a publi un rapport selon lequel les municipalits sont plus frquemment cibles et cela exerce une pression importante sur les ressources. Ce mme rapport publie galement quelques bonnes pratiques pour essayer de prvenir ces types de failles de scurit et d’attaques de ransomwares. Il peut tre judicieux pour les organisations et les municipalits de se renseigner, qu’elles soient aux tats-Unis ou non.

Selon le site Web sur le darknet de LockBit, il semble qu’ils attendent le paiement d’une ranon, sinon les donnes de la ville seront divulgues, ce qui peut inclure des donnes sur les citoyens de la ville. Les citoyens de la ville de 7 500 habitants sont encourags garder un il sur le site Web de la ville de St. Marys, leur page Facebook et son fil Twitter pour plus d’informations et des mises jour.

Recommandations du FBI

Le FBI n’encourage pas le paiement de ranons. Le paiement ne garantit pas que les fichiers seront rcuprs. Cela peut galement encourager les adversaires cibler d’autres organisations, encourager d’autres acteurs criminels se livrer la distribution de ranongiciels et/ou financer des activits illicites. Cependant, le FBI comprend que lorsque les victimes sont confrontes une incapacit fonctionner, toutes les options sont values pour protger les actionnaires, les employs et les clients. Que votre organisation dcide ou non de payer la ranon, le FBI vous invite signaler ds que possible les incidents de ransomware votre bureau local du FBI (www.fbi.gov/contact-us/field-offices). Cela fournit au FBI des informations critiques ncessaires pour prvenir de futures attaques en identifiant et en suivant les attaquants de ransomware et en les tenant responsables en vertu de la loi amricaine, lorsque cela est possible.

Le FBI encourage les agences gouvernementales locales initier de manire proactive une planification d’urgence, dans la mesure du possible, pour la continuit oprationnelle en cas d’attaque par ransomware et si les systmes sont inaccessibles. Par exemple, le racheminement des communications d’urgence des centres de rpartition locaux, des mcanismes de communication alternatifs pour les rsidents et le personnel (si les systmes reposent gnralement sur des communications lectroniques ou VoIP), ou des mthodes alternatives pour effectuer des services administratifs (tels que le paiement de factures, les rapports sur les problmes de services publics, etc.).

En plus des lments ci-dessus, le FBI recommande aux organisations de prendre en compte les lments suivants*:

Maintenez tous les systmes d’exploitation et logiciels jour. L’application de correctifs en temps opportun est l’une des mesures les plus efficaces et les plus rentables qu’une organisation puisse prendre pour minimiser son exposition aux menaces de cyberscurit. Vrifiez rgulirement les mises jour logicielles et les notifications de fin de vie (EOL), et accordez la priorit la correction des vulnrabilits exploites connues. Dans les environnements cloud, assurez-vous que les machines virtuelles, les applications sans serveur et les bibliothques tierces sont galement rgulirement corriges, car cela relve gnralement de la responsabilit du client. Automatisez l’analyse et les tests de scurit des logiciels lorsque cela est possible. Envisagez de mettre niveau le matriel et les logiciels, si ncessaire, pour tirer parti des fonctionnalits de virtualisation et de scurit fournies par le fournisseur.
Mettez en place un programme de formation des utilisateurs et des exercices de phishing pour sensibiliser les utilisateurs aux risques de visiter des sites Web suspects, de cliquer sur des liens suspects et d’ouvrir des pices jointes suspectes. Renforcez la rponse approprie des utilisateurs aux e-mails de phishing et de spearphishing.
Exigez des mots de passe forts et uniques pour tous les comptes avec des connexions par mot de passe (par exemple, compte de service, comptes d’administrateur et comptes d’administrateur de domaine). Les mots de passe ne doivent pas tre rutiliss sur plusieurs comptes ou stocks sur le systme auquel un adversaire peut avoir accs. Remarque : les appareils dots de comptes d’administrateur locaux doivent mettre en uvre une politique de mot de passe, ventuellement en utilisant une solution de gestion des mots de passe qui ncessite des mots de passe forts et uniques pour chaque compte d’administrateur.
Exigez l’authentification multifacteur (MFA) pour autant de services que possible, en particulier pour la messagerie Web, les VPN, les comptes qui accdent aux systmes critiques et les comptes privilgis qui grent les sauvegardes.
Maintenez des sauvegardes de donnes hors ligne (c’est–dire physiquement dconnectes) et testez rgulirement la sauvegarde et la restauration pour garantir la continuit des oprations ou au moins minimiser les temps d’arrt potentiels dus une attaque et vous protger contre les pertes de donnes. Dans les environnements cloud, pensez tirer parti des capacits de sauvegarde et de restauration du fournisseur de services cloud natif. Pour scuriser davantage les sauvegardes dans le cloud, envisagez de sparer les rles de compte pour viter qu’un compte qui gre les sauvegardes ne soit utilis pour refuser ou dgrader les sauvegardes si le compte est compromis.
Assurez-vous que toutes les donnes de sauvegarde sont chiffres, immuables (c’est–dire qu’elles ne peuvent pas tre modifies ou supprimes) et couvrent l’ensemble de l’infrastructure de donnes de l’organisation. Envisagez de stocker les cls de chiffrement en dehors du cloud. Les sauvegardes cloud chiffres l’aide d’un service de gestion de cl cloud (KMS) peuvent tre affectes si l’environnement cloud est compromis.
Si vous utilisez RDP ou d’autres services potentiellement risqus, scurisez-les et surveillez-les de prs.

Le malware Lock Bit a chiffr Windows 19 Server en seulement 4 minutes

Bien qu’il y ait beaucoup de ransomwares et de malwares, la dure et la puissance des attaques qu’ils peuvent mener en un temps limit n’ont pas t testes auparavant. C’tait jusqu’ ce que Splunk teste en avril certains des ransomware les plus courants dans l’industrie des logiciels malveillants pour voir quelle vitesse ils pouvaient chiffrer un systme de 53 Go aprs l’avoir infect.

Pour raliser ce test, la socit a install Windows 10 et Windows 19 Server sur quatre ordinateurs et y a install environ 98 561 fichiers. Elle a ensuite test dix logiciels malveillants diffrents pour voir quelle vitesse ils pouvaient chiffrer le systme, et quel logiciel malveillant allait terminer son travail en combien de temps.

Le premier malware dans cette course est Lock Bit qui, sur le serveur Windows 2019, a effectu le travail en seulement 4 minutes et 9 minutes. Le temps mdian a t de 5 minutes 50 secondes. Le deuxime de cette course, qui a fait son travail en seulement un temps mdian de 6 minutes 34 secondes, est Babuk. Les huit autres logiciels malveillants ont fait leur travail en une heure environ, tandis que seuls deux d’entre eux, Maze et PYSA, ont dpass la limite d’une heure.

Le temps moyen de chiffrement de l’ensemble de ces malwares tait infrieur une heure. Cela montre, en cas d’attaque russie, quelle vitesse votre systme peut tre chiffr. Cependant, les pirates prennent tout leur temps pour nettoyer votre PC. Pourquoi ? Parce que les pirates veillent endommager autant de composants et de zones de votre systme qu’ils le peuvent et pntrer dans autant de donnes qu’ils peuvent mettre la main dessus. Tout cela confirme la rapidit avec laquelle les logiciels malveillants peuvent attaquer votre systme et la faon dont la technologie croissante permet n’importe quel pirate de faire du mal vos donnes.

Microsoft dploie une politique de scurit par dfaut sur Windows 11, limitant les attaques par force brute

Malgr leur anciennet et leur simplicit, les attaques par force brute ont connu une certaine rsurgence en raison des besoins actuels du lieu de travail. La pandmie de Covid-19 a contraint de nombreux employs et entreprises adopter et sappuyer sur diverses solutions distance. Lvolution de la connectivit sur le lieu de travail a entran une forte augmentation des attaques par force brute, passant de 150 000 attaques par an plus dun million au dbut de la pandmie.

En effet, lors de l’dition 2022 de la confrence sur la scurit RSA qui a eu lieu en fvrier, l’agent spcial du FBI Joel DeCapua a dclar que le protocole Windows Remote Desktop Protocol (RDP) est la mthode la plus courante utilise par les attaquants de ransomware pour accder un rseau avant de dployer le ransomware. RDP reprsente toujours 70 80 % de la base initiale utilise par les acteurs du ransomware , a dclar DeCapua dans son discours. Par consquent, si vous utilisez RDP dans votre organisation, il est recommand d’utiliser l’authentification au niveau du rseau (NLA), qui oblige les clients s’authentifier auprs du rseau avant de se connecter au serveur de bureau distance. Cette disposition amliore la scurit car elle ne permet pas l’attaquant d’accder un serveur RDP tant qu’il n’est pas authentifi et offre ainsi une meilleure protection contre les exploits de pr-authentification. Il est galement suggr d’utiliser des mots de passe uniques et complexes pour vos comptes RDP.

C’est dans ce contexte que Microsoft a introduit une politique de scurit dans Windows 11 qui rend beaucoup plus difficile l’utilisation d’attaques par force brute pour dchiffrer les mots de passe. Par le biais de David Weston, vice-prsident de Microsoft en charge de la scurit du systme dexploitation et des offres entreprises, l’entreprise a annonc lactivation, par dfaut, dans Windows 11, dune rgle susceptible de ralentir significativement les attaques en force brute contre les services de dport daffichage (RDP). Pour mmoire, Remote Desktop Protocol (RDP) est un protocole qui permet un utilisateur de se connecter sur un serveur excutant Microsoft Terminal Services. Des clients existent pour la quasi-totalit des versions de Windows, et pour d’autres systmes d’exploitation, comme les systmes GNU/Linux.

Sources : Communiqu de presse de la mairie, compte twitter de la mairie, rapport du FBI

Et vous ?

Quelle lecture faites-vous de la situation ?

Que pensez-vous des recommandations du FBI ?