Mandiant victime du ransomware LockBit 2.0

La société américaine de cybersécurité qui s’est fait connaître en février 2013 après avoir publié un rapport indiquant l’implication de la Chine dans l’espionnage informatique, mais également dans la participation à la réponse apportée à l’attaque contre Colonial Pipeline en mai 2021. Celle qui a été rachetée par FireEye en fin d’année 2013, avant d’en être séparée en juin 2021, a selon le site de fuite de LockBit 2.0 été la cible des opérateurs malveillants. Ils en revendiquent l’attaque et menacent de diffuser des informations sensibles à 22 h 35 ce 6 juin 2022.

Aujourd’hui, lors de la RSA Conference la firme a annoncé le lancement de sa solution de protection contre les risques numériques qui exploite la puissance de la plateforme XDR multifournisseur Mandiant Advantage. Cela pour permettre une vue basée sur l’intelligence de la surface d’attaque globale d’une organisation et de l’activité ayant un impact sur l’entreprise sur le Deep et le Dark Web. La solution comprend les offres Mandiant et est conçue pour octroyer aux responsables de la sécurité d’atténuer de manière proactive les menaces avant qu’elles ne perturbent les opérations commerciales, explique la compagnie.

Alors que Microsoft était pressentie pour un rachat, c’est Google qui allait pouvoir intégrer les services de Mandiant dans son offre cloud pour la coquette somme de 5,4 milliards de dollars. Mandiant est l’un des leaders mondiaux dans le domaine de la cyberdéfense et de la réponse dynamique aux incidents. L’annonce était effectuée le 8 mars 2022.

« Pour rester implacables face aux cyberattaques de plus en plus sophistiquées et persistantes, les défenseurs doivent également avoir un aperçu de la surface d’attaque externe », a déclaré Chris Key, directeur des produits chez Mandiant. « Grâce aux renseignements et à l’expertise de première ligne de Mandiant, Digital Threat Monitoring et la solution de protection des risques numériques de Mandiant permettent aux défenseurs de transformer rapidement et facilement les informations en action pour atténuer les risques et aider à garder une longueur d’avance sur les menaces. »

Il est difficile de protéger une position, si cette dernière n’est pas connue. Une surface d’attaque externe est la somme des actifs qui peuvent être exploités lors d’une attaque. Cela va des noms de domaine, certificats SSL, protocoles aux systèmes d’exploitation, serveurs, appareils IOT et services réseau. (Crédits : Reposify)

Le nouveau module « Digital Threat Monitoring » est conçu, assure Mandiant, pour surveiller en permanence Internet, y compris le Deep et Dark Web, les blogs, les marchés clandestins, les médias sociaux… pour aider les organisations à découvrir les différentes conversations sur leur marque, et plus encore.

Alors que se déroule du 6 au 9 juin la RSA Conférence qui est le grand rendez-vous des professionnels de la Cyber Sécurité à San Francisco, l’un des leaders du domaine devrait voir des renseignements sensibles ou ultrasensibles se retrouver sur le site de fuite du Ransomware LockBit 2.0.

Les utilisateurs bénéficient d’une notification précoce des menaces d’une attaque imminente ou d’une fuite de données ou d’informations d’identification non détectée existante, permettant une réponse et une correction plus rapides, promet Mandiant. Les opérateurs derrière le ransomware LockBit auraient probablement imité une attaque contre la société de cybersécurité pour faire valoir sa non affiliation à un groupe basé en Russie. « Notre groupe n’a rien à voir avec Evil Corp. Nous sommes de vrais hackers underground du darknet, nous n’avons rien à voir avec la politique ou les services spéciaux comme le FSB, le FBI, etc. Nous sommes un groupe multinational, notre programme de partenariat comprend non seulement des Russes, mais aussi des Américains, des Chinois, des Iraniens, des Ukrainiens et de nombreuses autres nations », peut-on lire dans la déclaration.

L’auteur de cette déclaration s’offusque de la Presse Jaune avide d’article de faible qualité mais procurant de nombreux “click” sur leur site WEB. “Ce n’est pas parce que FoxConn sera attaqué par tous les affiliés de ransomware du monde que Maxim Yakubets se cache derrière leurs marques.” (Crédits : capture d’écran)

Mandiant affirme après avoir examiné le communiqué de LockBit, la société a déclaré que les pirates pouvaient avoir d’autres motifs à l’esprit. « Sur la base des données qui ont été publiées, rien n’indique que des données de Mandiant ont été divulguées, mais l’acteur semble plutôt essayer de réfuter le blog de recherche de Mandiant du 2 juin 2022 sur UNC2165 et LockBit », déclarait la société à Cybernews. Tout laisse à penser, jusqu’à preuve du contraire que cette affaire soit une campagne de communication. Le site de fuite de LockBit montre un fichier intitulé « mandiantyellowpress.com.7z » dans lequel sont disponible quatre captures d’écran et deux photos de voiture de luxe. « J’ai été véritablement surpris de lire des tweets venant de la presse jaune, Mandiant ne sont pas des professionnels », explique le communiqué de LockBit. En ajoutant que « le fait que quelqu’un utilise des outils similaires ne peut pas être la preuve que l’attaque est faite par la même personne », et mentionne que tous les scripts et outils sont disponibles sur la toile (Forum, Google, Githab).

Romuald Pena

Journaliste et curieux de nature, j’aime les mots et ce qu’ils chantent aux oreilles qui les entendent. « La vérité, c’est qu’il n’y a pas de vérité », assurait Pablo Neruda. Ainsi j’apporte des faits, des faits, encore et toujours des faits, car : « Nous ne pouvons être condamnés à pire, à juger les autres, à être des juges. » (Le Testament d’Orphée, de Jean Cocteau)

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.