Le gang de rançongiciels LockBit revendique la cyberattaque de juillet contre le géant de la cybersécurité Entrust, mais avec une torsion – le groupe accuse également sa dernière victime d’une contre-attaque.
Entrust, qui se décrit comme un leader mondial des identités, des paiements et de la protection des données, a déclaré fin juillet qu’une « partie non autorisée » avait accédé à des parties de son réseau, mais a refusé de décrire la nature de l’attaque ou de dire si les données des clients avaient été volées. Les clients d’Entrust comprennent un certain nombre d’organismes gouvernementaux américains, dont la sécurité intérieure, le ministère de l’Énergie et le Trésor.
Vendredi, LockBit, une importante opération de ransomware qui a précédemment revendiqué des attaques contre Foxconn et Accenture, a pris la responsabilité de la cyberattaque de juillet en ajoutant Entrust à son site de fuite sur le Web sombre. Le gang a commencé à divulguer les données internes de l’entreprise ce week-end, suggérant qu’Entrust aurait peut-être refusé de répondre aux demandes de rançon du groupe.
Mais peu de temps après, une apparente attaque par déni de service distribué (DDoS) a forcé le site Web sombre de LockBit à se déconnecter.
Azim Shukuhi, chercheur en sécurité chez Talos de Cisco, cité un membre de LockBit sous le nom de « LockBitSupp », qui a affirmé que le site recevait « 400 requêtes par seconde de plus de 1 000 serveurs ». Alors que les auteurs de l’attaque DDoS restent inconnus, le même membre de LockBit a déclaré à Bleeping Computer que l’attaque « a commencé immédiatement après la publication des données et des négociations », et séparément ont déclaré au groupe de recherche sur les logiciels malveillants VX-Underground qu’ils pensaient que l’attaque avait été lancée par une personne connectée à Entrust, faisant référence au trafic Internet indésirable qui disait « DELETE_ENTRUSTCOM_MOTHERFUCKERS ».
Le site de LockBit reste largement inaccessible lundi, mais a brièvement montré un message avertissant que le gang prévoit de télécharger les données volées d’Entrust sur des réseaux peer-to-peer, rendant les données presque impossibles à supprimer.
TechCrunch a demandé à Entrust de confirmer ou d’infirmer toute connaissance ou toute connexion à l’attaque DDoS. Ken Kadet, vice-président des communications chez Entrust, a refusé de répondre aux multiples courriels envoyés avant la publication.
Les cyberattaques offensives – ou « piratage » contre les cybercriminels, telles que le lancement d’attaques DDoS contre des participants non consentants – sont illégales en vertu de la loi américaine et pourraient être classées comme une infraction pénale fédérale en vertu du Computer Fraud and Abuse Act. Le piratage fait l’objet d’intenses débats depuis des années en tant qu’alternative possible à la protection des entreprises américaines contre les menaces internationales, bien que les critiques affirment que permettre aux entreprises privées de s’engager dans la cyberguerre risque d’aggraver les tensions diplomatiques et de déstabiliser les relations étatiques.
Ou, comme un chercheur en sécurité le met: « L’idée qu’une entreprise de cybersécurité serait confrontée à un DDoS créerait un précédent dangereux [sic].”