C’est une histoire digne d’un film d’espionnage, ce 19 février, le FBI annonce avoir démantelé le groupe LockBit qu’on ne présente plus. En effet, alors que ce dernier s’apprêtait à publier des données sensibles volées dans les systèmes informatiques du gouvernement du comté de Fulton, en Géorgie, Lockbit a été gravement perturbé par les forces de l’ordre.
LockBit mis à défaut
Lors de cette contre-offensive géré par les autorités de multiple pays, dont la France, et d’après les informations données, ce n’est pas moins de 34 serveurs saisis, la prise de contrôle des sites du groupe basés sur Tor, le gel des comptes de crypto-monnaie et la récupération d’informations techniques du groupe. Les autorités ont également annoncé qu’elles avaient obtenu 1 000 clés de déchiffrement qui aideront les organisations victimes à récupérer leurs données sans payer de rançon.
Bref la guerre est déclarée ! Les autorités auraient obtenu « un accès complet et sans précédent aux systèmes de LockBit » et, pour narguer le groupe, elles ont remplacé les messages existants sur le site saisi par des messages contenant des rapports sur les activités du groupe, des informations sur les arrestations, des détails sur les récompenses et les sanctions, et suggérant même qu’elles savent qui est le chef de LockBit et qu’il « s’est engagé avec les forces de l’ordre ».
Mais LockBit est en train de se regrouper, et le gang affirme qu’il publiera les données volées du comté de Fulton le 2 mars, à moins qu’une rançon ne soit payée. LockBit affirme que le cache comprend des documents liés aux poursuites pénales engagées par le comté contre l’ancien président Trump, mais les observateurs des tribunaux affirment que les documents préliminaires publiés par le gang criminel suggèrent qu’une fuite totale des données du comté de Fulton pourrait mettre des vies en danger et compromettre un certain nombre d’autres procès criminels.
L’affaire aurait pu s’arrêter là, les « méchants » stoppés et le groupe LockBit dissolu. Mais non, l’épopée continue !
Lockbit la renaissance
Ce week-end, alors que LockBit semblait perdu, un individu impliqué dans le RaaS (Ransomware As A Service), qui utilise le surnom de « LockBitSupp », a lancé un nouveau site qui répertorie des centaines d’organisations victimes et qui contient un long message donnant son point de vue sur le démantèlement. Celui-ci semble être le « chef » du groupe et ne semble pas plus inquiet que cela par rapport à ce démantèlement. Selon lui, c’est une faille PHP 8.2 (CVE-2023-3824) qui aurait conduit à la saisie des sites vulnérables, mais pas de ceux qui n’utilisent pas le langage. Et oui, le groupe entier ne semble pas être démantelé ! Voici le nouveau site en question qui se targue d’avoir des données du FBI en prime :
En fait, certains des sites miroirs connus du groupe renvoient maintenant vers un nouveau portail. LockBit a donc lancé un nouveau site au cours du week-end, affirmant qu’ils ont restauré leur infrastructure à la suite du démantèlement par les forces de l’ordre et ils invitent les affiliés à se joindre à nouveau à l’opération. « LockBitSupp » affirme également que les forces de l’ordre ont obtenu 20 000 outils de déchiffrement, dont 1 000 versions non protégées (sur les 40 000 délivrés au cours des cinq années d’existence de LockBit), et que le démantèlement était une réaction au piratage du comté de Fulton, en Géorgie, en janvier. « Le FBI a décidé de pirater maintenant pour une seule raison, car il ne voulait pas divulguer d’informations sur fultoncountyga.gov », a écrit « LockBitSupp ». « Les documents volés contiennent beaucoup de choses intéressantes et des affaires judiciaires de Donald Trump qui pourraient avoir une incidence sur les prochaines élections américaines. »
« Même après le piratage du FBI, les données volées seront publiées sur le blog, il n’y a aucune chance de détruire les données volées sans paiement », a écrit « LockBitSupp ». « Toutes les actions du FBI visent à détruire la réputation de mon programme d’affiliation, ma démoralisation, ils veulent que je parte et que je quitte mon travail, ils veulent me faire peur parce qu’ils ne peuvent pas me trouver et m’éliminer, je ne peux pas être arrêté ». Le message porté par le « chef » du groupe semble être une tentative de restaurer la crédibilité dont le RaaS a grandement besoin, non seulement à la suite de l’impact majeur du démantèlement par les forces de l’ordre, mais aussi parce que la « marque » LockBit a subi des mois de déclin.
C’est vraiment une histoire fantastique, le chef de Lockbit semble ne pas avoir peur, et nargue même les autorités. Qui sera le vainqueur de cette chasse au ransomware ?
Si l’article vous a plu et si vous aimez mon travail, vous pouvez faire un don en suivant ce lien :
Pas de commentaire