(Paris, 26 juillet 2022). LockBit affirme avoir compromis l’Agence fiscale italienne, en volant 78 Giga de données. Une rançon a été demandée avec un délai de 5 jours
Selon le média italien spécialisé des questions de Défense et de Sécurité, «Difesa & Sicurezza», LockBit a frappé l’Italie, s’introduisant dans l’Agence (du revenu) fiscale et volant – selon le groupe ransomware – 78 Giga de données. En outre, le groupe de hackers a exigé le paiement d’une importante rançon dans les cinq jours (le 31 juillet), faute de quoi il a annoncé qu’il divulguerait, en clair, les informations volées. Officiellement, il s’agit d’un épisode de cybercriminalité, qui pourrait cependant cacher bien plus. Surtout le timing laisse présager le pire. L’attaque a, en effet, eu lieu quelques jours après la démission du Premier ministre, Mario Draghi, et le début de la campagne électorale pour le vote prévu le 25 septembre. Les acteurs de la menace avaient récemment tourné leur attention vers la France, avec des vagues d’attaques de ransomwares contre des cibles institutionnelles et d’entreprises. En Italie, en revanche, il n’y a eu récemment qu’une seule attaque de LockBit contre une grande entreprise alimentaire.
L’annonce de l’attaque contre l’Agence (du revenu) fiscale avec l’ultimatum pour le paiement de la rançon
Il est à craindre que les données volées par le groupe ransomware ne soient utilisées pour faire pression en vue des élections de septembre en Italie
Les experts en cyber-sécurité craignent donc que l’attaque classique de ransomware à des fins d’extorsion n’ait été associée à une opération de cyber-guerre pro-russe à l’approche des élections en Italie. LockBit a officiellement annoncé qu’il s’agissait d’un groupe apolitique et qu’il ne toucherait jamais l’infrastructure critique d’un pays. Cependant, malgré les proclamations, il y a eu plusieurs attaques contre des cibles « interdites » en France et ailleurs, et – du moins officiellement – aucun des dirigeants de la formation n’a pris de mesures contre les contrevenants. Par conséquent, il est probable que des acteurs proches de Moscou soient susceptibles d’avoir utilisé Ransomware-as-a-Service (RaaS) contre notre pays. L’objectif est simple : utiliser les informations volées à l’Agence fiscale (du revenu) visant à influencer le vote de septembre, vraisemblablement en faisant pression directement sur des candidats ou de leurs proches, grâce à des documents acquis avec le malware.
Il existe de fortes suspicions que la Russie utilise Ransomware-as-a-Service afin de mener une cyber-guerre contre l’Ukraine et les pays qui la soutiennent
Par ailleurs, il existe depuis longtemps de forts soupçons que la Russie utilise Ransomware-as-a-Service (RaaS) pour mener une cyber-guerre contre des pays et leurs partenaires ayant pris parti pour l’Ukraine. Les exemples les plus frappants sont :
- LockBit 3.0, qui a fortement ciblé la France depuis plus d’un mois, a maintenant jeté son dévolu sur l’Italie ;
- BlackCat (alias ALPHVM), qui vient d’attaquer l’administration locale de Riyad en Arabie Saoudite ;
- Karakurt, qui semble concentrer ses activités principalement contre les États-Unis ;
- Hive, dont les compromis se multiplient bien qu’ils ne soient pas spécifiquement géo-localisés ;
- Black Basta, qui cible principalement le monde anglo-saxon.
Par ailleurs, les groupes de ransomware Karakurt, BlackBasta, AlphVM/BlackCat et HIVE sont issus du groupe Conti, qui se range du côté de la Russie et contre Kiev, lequel ayant officiellement mis fin à ses activités en mai 2022. Les analystes estiment que la formation centrale, au cours des deux mois précédant sa fermeture, a créé des sous-divisions dotées d’une structure organisationnelle horizontale et décentralisée. Il s’agissait de rendre les attaques plus difficiles pour les « cyber ennemis » et de maintenir l’opération en vie si une ou plusieurs « branches » devaient être neutralisées. Ce n’est pas un hasard si les États neutres n’ont pas subi ces attaques RaaS, malgré leurs cyber-défense plus faibles. Par conséquent, le profit n’est qu’un objectif secondaire.