Les efforts conjoints des forces de l’ordre internationales ont permis de démanteler cette semaine le plus grand groupe de ransomware, le fameux LockBit, de désarticuler son infrastructure RaaS (Ransomware as a Service) mais également d’obtenir de précieuses informations sur les affiliés et clients de ce groupe cybercriminel. Une victoire magistrale des cyber-gendarmes mais pour combien de temps ?
Depuis le début de l’année, une coopération internationale des forces de l’ordre permet aux « good guys » de la cybersécurité de faire tomber quelques réseaux du Dark Net et de désassembler les activités de cyber-vilains. La semaine dernière, une opération notamment dirigée par le FBI avait démantelé le réseau de routeurs compromis par le botnet Moobot du groupe associé au service de renseignement militaire russe GRU. En janvier, le FBI avait en partie désarmé le botnet KV Botnet du groupe chinois Volt Typhoon en envoyant une commande d’effacement du malware sur les routeurs infectés.
Cette semaine, une opération conjointe menée par le FBI, le Royaume-Uni et Europol a permis de saisir l’infrastructure répartie de serveurs utilisés par le groupe Lockbit et son tristement célèbre ransomware. Né en 2019, le groupe s’est montré de plus en plus actif. Il était considéré fin 2023 comme le groupe cybercriminel le plus actif au monde. Son ransomware a officiellement affecté le fonctionnement de plus de 1700 entreprises et organisations (dont plus de 275 rien qu’au quatrième trimestre 2023). En France, LockBit est notamment à l’origine des attaques contre l’hôpital de Corbeil-Essonnes, La Poste Mobile, le groupe Nuxe ou encore le groupe Thales.
Des arrestations et un outil de déchiffrement
Officiellement, l’opération Cronos a permis aux forces de l’ordre internationales de prendre le contrôle de la plateforme assemblée par les hackers (comprenant 34 serveurs situés en France, aux Pays-Bas, en Allemagne, en Finlande, en Suisse, en Australie, aux USA et en Angleterre), d’obtenir des informations sur tous leurs clients et affiliés (plus de 14.000 comptes), la liste et le détail de leurs victimes ainsi que de mettre la main sur les codes sources du ransomware, le portail de monétisation de leurs services malveillants, sur le site « Lockbit Leaksite » et sur 22 sites TOR associés à LockBit. Les forces de l’ordre ont aussi saisi 200 portefeuilles de cryptomonnaie appartenant au groupe LockBit ce qui, à terme, pourrait permettre le remboursement de certaines victimes ayant opté pour le paiement de la rançon.
Autre bonne nouvelle, les forces de l’ordre ont récupéré plus de 1000 clés de chiffrement et ont immédiatement diffusé un « déchiffreur Lockbit 3.0 » via le portail « No More Ransom ».
Selon le très informé site Web « Bleepingcomputer », les forces internationales ont procédé à quelques arrestations même si la majorité des membres de Lockbit opèrent depuis des pays hors de portée des forces de l’ordre américaines et européennes. Deux opérateurs du gang ont été arrêtés en Pologne et en Ukraine. En France et aux USA, trois mandats d’arrêt internationaux ont également été émis ainsi que 5 actes d’accusation contre d’autres acteurs Lockbit. Un porte-parole américain de l’opération Cronos confirme que les informations récupérées sur les serveurs entraînent des investigations supplémentaires notamment autour des affiliés et clients de la plateforme RaaS (Ransomware as a Service) : « Des opérations sont toujours en cours et la situation continue d’évoluer ». On estime que LockBit détenait 25% du marché du RaaS avant l’opération Cronos.
L’histoire n’est pas finie…
Apparemment, le groupe LockBit avait informé ses clients d’une infiltration de ses serveurs peu avant que ne soit divulgué l’opération Cronos. On ignore si les hackers se sont aperçus de l’opération des cyber-policiers avant que ces derniers n’affichent un compte à rebours sur le portail du service RaaS ou si c’est l’apparition de ce message qui a entraîné la réaction de LockBit. Il était dans tous les cas déjà trop tard. Cette opération est préparée depuis de longues semaines.
Ce succès contre LockBit n’est pourtant probablement pas définitif. Comme on l’a vu précédemment avec des groupes comme DarkSide, les hackers sont parfois très véloces à reprendre leurs activités avec d’autres infrastructures et souvent sous un autre nom.
Discutant avec les chercheurs de VX-Underground via la messagerie chiffrée underground Tox, des membres de LockBit ont confirmé qu’une grande partie de leur infrastructure avait bien été saisie par les forces de l’ordre suite à une faille PHP mais qu’ils disposaient encore de serveurs de sauvegarde intouchés et intouchables. Les cyber-attaquants affirment par ailleurs que l’on aura prochainement de leurs nouvelles.
Reste que cette opération d’envergure est quand même une victoire pour les forces internationales. « Cette enquête internationale a permis de perturber le groupe de cybercriminels le plus dangereux au monde. Elle montre qu’aucune opération criminelle, où qu’elle se trouve et quel que soit son degré d’avancement, n’échappe à la NCA et à ses partenaires », se congratule Graeme Biggar, directeur général de la NCA. « Grâce à notre étroite collaboration, nous avons piraté les pirates, pris le contrôle de leur infrastructure, saisi leur code source et obtenu les clés qui aideront les victimes à décrypter leurs systèmes. À partir d’aujourd’hui, LockBit est bloqué. Nous avons porté atteinte aux capacités et surtout à la crédibilité d’un groupe qui dépendait du secret et de l’anonymat ».
puis