Alexi TAUZIN - Fotolia

Ransomware : Île-de-France Nature frappée mi-août par LockBit 3.0

Une cyberattaque contre l’agence régionale en charge des espaces naturels en Île-de-France a été revendiquée, le 23 août, sur le site vitrine de la franchise LockBit 3.0. Le chiffrement était survenu 11 jours plus tôt.

Dans un communiqué de presse daté du 25 août, Île-de-France Nature, anciennement Agence des Espaces Verts de la région, indique avoir « fait l’objet d’une attaque informatique par l’intrusion d’un rançongiciel ». Une revendication de cette cyberattaque avait été publiée 48h plus tôt sur le site vitrine de la franchise LockBit 3.0. 

Dans son communiqué de presse, l’agence régionale chargée de la mise en œuvre de la politique environnementale du Conseil régional d’Île-de-France assure que « dès la découverte de l’intrusion, des mesures de rétablissement des services ont été mises en œuvre ». Et de concéder qu’il « est établi que des données ont été cryptées et dérobées ».

Dans un échange avec la rédaction, Île-de-France Nature indique que le chiffrement, par ransomware, est survenu le samedi 12 août, au petit matin, de même que l’exfiltration de données. Les investigations ont permis d’établir qu’une offensive sur les comptes administrateurs avait été lancée quatre heures plus tôt. 

Les cybercriminels avaient prévu de divulguer les données volées lors de l’attaque ce dimanche 27 août dans la soirée. À l’heure où ces lignes sont publiées, les données en question ne sont toujours pas accessibles. Une demi-surprise.

Divulgation de données volées : l’échec de LockBit

Comme le soulignait récemment Jon DiMaggio, stratégiste sécurité en chef d’Analyst1, « Lockbit a un problème de publication et de fuite des données des victimes ». Le groupe fait régulièrement croire qu’il divulgue les données volées lors de ses cyberattaques, mais en réalité il « ne peut souvent pas publier de manière cohérente les données volées. Au lieu de cela, il s’appuie sur des menaces vides et sur sa réputation publique pour convaincre les victimes de payer ».

Ainsi, lorsque la franchise affiche que les fichiers de ses victimes « sont publiés », « il s’agit souvent d’un mensonge et d’un stratagème pour dissimuler le fait que LockBit n’est pas en mesure d’héberger et de publier régulièrement de grandes quantités de données sur les victimes par l’intermédiaire de son panneau d’administration, comme il l’a promis à ses partenaires affiliés ». 

Le site vitrine de LockBit s’appuie, depuis sa version 2.0 pour la diffusion des données volées à ses victimes, sur un navigateur de fichiers en JavaScript au fonctionnement plus qu’aléatoire. 

Avec la version 3.0, lancée il y a un peu plus d’un an, les affidés ont plus d’options à leur disposition. Ils peuvent choisir de mettre les fichiers à disposition sous forme d’archive à télécharger directement depuis la vitrine ou opter pour un hébergement tiers. Le navigateur de fichiers n’a toutefois pas été abandonné et dans de nombreux cas, la menace de divulgation des données volées s’avère sans substance. 

Pour approfondir sur Menaces, Ransomwares, DDoS

Close