Une offensive internationale contre Dispossessor
Le FBI a saisi les domaines et serveurs du gang Dispossessor, également connu sous le nom de Radar, avec l’aide des forces de l’ordre britanniques et allemandes. Les infrastructures suivantes ont été prises sous contrôle :
- trois serveurs aux États-Unis,
- trois serveurs au Royaume-Uni,
- 18 serveurs en Allemagne,
- huit domaines américains,
- un domaine en Allemagne.
Ces actions visent à neutraliser le groupe, dont les sites sont désormais remplacés par une bannière annonçant que « ce site Web a été saisi », accompagnée du logo du FBI et des organismes internationaux impliqués.
Les activités du gang depuis 2023
Dispossessor a émergé en août 2023 et est responsable de 43 cyberattaques visant les petites et moyennes entreprises aux États-Unis, en Belgique, au Canada, et en Allemagne. Les secteurs ciblés incluaient :
- production,
- éducation,
- santé,
- services financiers,
- transports.
À la tête du groupe se trouve un pirate mystérieux se faisant appeler Brain, qui a organisé les attaques en tirant profit des failles de sécurité présentes au sein des entreprises ciblées.
Exploitation des failles de sécurité
Le gang Dispossessor a exploité plusieurs vulnérabilités au sein des entreprises, notamment :
- l’utilisation de mots de passe faibles et facilement devinables,
- la négligence de l’implémentation de la double authentification,
- des configurations de sécurité mal configurées ou obsolètes.
Ces failles ont facilité l’infiltration des réseaux informatiques des entreprises, permettant au gang d’accéder à des informations sensibles.
Le mode opératoire : la double extorsion
Une fois le réseau d’une entreprise compromis, Dispossessor déploie un plan d’attaque bien rodé :
- Exfiltration des données : les pirates copient les données sensibles de l’entreprise avant de les chiffrer.
- Déploiement d’un ransomware : les informations sur les serveurs de l’entreprise sont cryptées, les rendant inaccessibles.
- Demande de rançon : l’entreprise se voit contrainte de verser une somme d’argent pour récupérer l’accès à ses données.
Si l’entreprise refuse de payer, le gang menace de publier les données sensibles en ligne ou de les supprimer. Cette tactique, connue sous le nom de double extorsion, est devenue l’une des stratégies préférées des cybercriminels pour maximiser leurs gains. Dispossessor prend souvent l’initiative de contacter les membres de l’entreprise par e-mail ou téléphone pour négocier la rançon.
Recours aux malwares
À ses débuts, Dispossessor s’est appuyé sur des données déjà publiées par d’autres gangs notoires comme Lockbit, Cl0p, Hunters International, et 8base. Progressivement, le groupe a développé ses propres méthodes, notamment en utilisant une variante du malware Lockbit pour lancer ses propres attaques, ce qui lui a permis de cibler un plus large éventail d’organisations.
Les opérations contre les gangs de ransomwares
Cette opération s’inscrit dans un effort global visant à démanteler les groupes spécialisés dans les attaques par ransomware. Au cours des derniers mois, plusieurs gangs de cybercriminels ont été la cible de coups de filet. Le FBI a, par exemple, réussi à affaiblir des groupes tels que Lockbit, numéro un mondial des ransomwares, et le groupe russe BlackCat.
Neutralisation des infrastructures des malwares
Les efforts des autorités ne se limitent pas aux arrestations. Elles s’attaquent aussi aux infrastructures utilisées par les cybercriminels. Plusieurs malwares couramment utilisés pour orchestrer des attaques par ransomware ont été ciblés par des opérations de grande envergure, tels que :
- Cobalt Strike,
- IcedID,
- SystemBC,
- Pikabot,
- Smokeloader,
- Bumblebee.
Ces virus, utilisés massivement par des hackers pour demander des rançons, sont désormais neutralisés, ce qui limite les capacités d’attaque des groupes cybercriminels. Ces actions visent à faire baisser le nombre d’attaques par ransomware, qui a déjà diminué depuis le début de l’année.
Les répercussions pour les entreprises
Les entreprises doivent prendre des mesures supplémentaires pour se protéger des attaques par ransomware. En particulier, les petites et moyennes entreprises, souvent moins équipées que les grandes entreprises, sont plus vulnérables aux cyberattaques. Voici quelques recommandations pour renforcer leur sécurité :
- Renforcer la formation des employés : les employés doivent être capables d’identifier et de signaler les tentatives de phishing et autres tactiques d’ingénierie sociale couramment utilisées par les pirates pour obtenir des informations d’identification.
- Mise à jour régulière des systèmes : les entreprises doivent s’assurer que leurs systèmes sont à jour avec les derniers correctifs de sécurité afin de combler les failles exploitées par des gangs comme Dispossessor.
- Adoption de la double authentification : mettre en place la double authentification est l’une des mesures les plus efficaces pour protéger les systèmes informatiques des entreprises contre les intrusions.
- Surveillance accrue des activités réseau : des outils de surveillance avancés permettent de détecter les anomalies dans les activités réseau, ce qui peut indiquer une tentative de piratage en cours.
L’importance des sauvegardes
Pour éviter d’être entièrement dépendantes des cybercriminels après une attaque, les entreprises doivent mettre en place des politiques strictes de sauvegarde de données. La réalisation de sauvegardes régulières et le stockage de celles-ci hors ligne peuvent permettre de restaurer les systèmes sans avoir à payer de rançon, même si les données internes sont chiffrées.
La menace persistante des ransomwares
Malgré les succès récents dans la lutte contre les gangs de ransomwares, la menace reste bien présente. Les groupes cybercriminels continuent de s’adapter et d’évoluer, développant de nouvelles méthodes pour contourner les mesures de sécurité mises en place. Les entreprises doivent rester vigilantes et continuer à renforcer leur cybersécurité pour minimiser les risques.
Le FBI et les autres agences de sécurité, quant à eux, s’efforcent de rester un pas en avant des pirates en identifiant et en démantelant leurs infrastructures à chaque opportunité.