Cyber threats
Barometer

L’opération internationale « Cronos », orchestrée le 20 février 2024, a constitué un moment notable dans la lutte mondiale contre les cybermenaces. Elle a ciblé le groupe LockBit, notoirement connu pour ses activités de ransomware depuis 2020. Cet acteur de la menace, est notamment connu pour avoir causé des dommages financiers considérables à de multiples secteurs, dont ceux de la finance et de la santé en particulier.

Aux États-Unis, le groupe Lockbit a ciblé environ 1 700 organisations incluant des entreprises majeures comme Boeing. Rien que pour la France, plus de 200 entités ont été affecté dont des infrastructures critiques telles que les établissements de santé de Corbeil-Essonnes et de Versailles.

Résultat d’une collaboration étroite entre le FBI, l’ANSSI, la Gendarmerie nationale, et Europol, l’opération Cronos a abouti à la neutralisation d’une part significative de l’infrastructure de LockBit. Cela s’est traduit a par la saisie de 34 serveurs en Europe, au Royaume-Uni, et aux États-Unis, l’identification et le le gel de 200 comptes en cryptomonnaies, et la fermeture de 14 000 comptes en ligne.

Un accès au site de publication et aux systèmes d’administration de Lockbit a également facilité la mise à disposition de clé de déchiffrement pour les victimes. L’opération a également permis l’arrestation en Pologne et en Ukraine de deux ressortissants russes, impliqués dans la diffusion de ce rançongiciel à l’échelle mondiale.

L’importance de cette opération réside non seulement dans l’ampleur des saisies et des arrestations mais aussi dans son rôle de catalyseur pour d’autres efforts de lutte contre la cybercriminalité à travers le monde. En démantelant un acteur aussi prééminent que LockBit, les forces de l’ordre ont envoyé un message fort à la communauté cybercriminelle et ouvrent la voie à des initiatives similaires à l’avenir.

Toutefois, l’impact de l’opération Cronos pourrait être de courte durée. Quatre jours seulement après, le 24 février, le groupe de cybercriminels a défié les autorités en mettant en ligne un nouveau site vitrine accompagné de la publication de prétendues nouvelles victimes. Cette réaction rapide démontre, s’il en était besoin, de la capacité de résilience et d’adaptation de ce type de réseaux cybercriminels très structurés face aux interventions judiciaires.

Dans le modèle Ransomware-as-a-Service (RaaS), le terme « affiliés » désigne des cybercriminels qui s’associent à des fournisseurs de ransomware (aussi appelés « operateurs ») pour mener des attaques. Ce partenariat permet aux affiliés d’utiliser des logiciels malveillants sophistiqués développés par d’autres, souvent contre une part des profits générés par les attaques réussies.

Cette structure permet une diffusion plus large et plus rapide des attaques de ransomware, car elle réduit les barrières à l’entrée pour les acteurs malveillants souhaitant s’engager dans le cybercrime sans posséder les compétences techniques pour développer leurs propres outils malveillants. Elle permet également un partage du risque entre les différents acteurs de la chaine. En cas de neutralisation d’un operateur, ses affiliés peuvent en effet se tourner vers un de ses concurrents RaaS (et vice-versa).

Malwares, vulnérabilités critiques, attaques persistantes avancées, secteurs particulièrement visés, signaux faibles de menaces émergentes… Ce n’est un secret pour personne, la connaissance de son environnement cyber est un facteur clé pour la sécurité d’une entreprise. Le Cyber Threats Barometer vous donne chaque mois mais un aperçu des menaces cyber détectées lors des trente derniers jours par Gatewatcher CTI, notre plateforme de Cyber Threat Intelligence.

Les moteurs automatisés de collecte, d’analyse et de corrélation de Gatewatcher CTI sont alimentés en permanence par plus de quatre milles sources de données provenant de multiples canaux : réseaux sociaux, sites spécialisés, dark et deep web. Ils permettent de rendre accessibles les informations sur les menaces 24 heures en moyenne avant la concurrence et facilitent la prise de décision des équipes opérationnelles en réduisant fortement leurs temps d’analyse et de réaction en cas d’incident.