Il n’est jamais trop tard pour se signaler. Le bureau fédéral d’investigation américain, le FBI, a accumulé un beau trésor de guerre dans ses efforts pour contrer le rançongiciel LockBit. Comme l’un de ses cadres l’a récemment indiqué, le bureau détient en effet plus de 7000 clés de déchiffrement.
Ce chiffre impressionnant est à mettre en perspective avec le nombre connu de victimes du gang. Le programme malveillant, apparu en septembre 2019, est devenu en quelques années la franchise numéro un de l’industrie criminelle du rançongiciel, en visant plus de 2400 victimes selon les chiffres de la justice américaine.
Les clés de déchiffrement obtenues par le FBI peuvent donc désormais aider des victimes non signalées à récupérer leurs données. Elles peuvent se manifester grâce à un formulaire spécial mis en place par le célèbre bureau fédéral. Ce formulaire n’est toutefois pas réservé qu’aux victimes américaines.
Affiner la connaissance de la menace
S’il peut être intéressant pour les victimes de remettre en clair des données considérées comme perdues, pour le FBI, c’est également l’occasion d’affiner sa connaissance du mode opératoire de LockBit. Le questionnaire du FBI comprend ainsi des questions sur la version de LockBit utilisée et la date de l’attaque.
De même, les enquêteurs suggèrent de détailler le point d’entrée initial des pirates et la façon dont les données ont été exfiltrées. Ils proposent enfin de transmettre le texte de la demande de rançon et de communiquer l’adresse crypto qui a permis un éventuel paiement.
Au passage, le FBI s’est également permis quelques piques contre Dmitry Khoroshev, ce russe d’une trentaine d’années accusé d’être l’administrateur de LockBit. Ce dernier peaufine son image mystérieuse.
Pas d’indulgence
Mais c’est en réalité un criminel, plus pris par la bureaucratie et la gestion de son entreprise crapuleuse que dans des activités secrètes, résumait Bryan Vorndran, le directeur adjoint cyber du FBI.
« Nous ne serons pas indulgents avec lui », ajoutait-il après avoir signalé que Dmitry Khoroshev avait proposé un deal avec la justice américaine – ne rien faire contre lui contre des informations sur ses concurrents.
La franchise LockBit a été visée en février dernier par une impressionnante opération policière internationale. Dénommée Cronos, elle a permis aux forces de l’ordre de pirater l’infrastructure du gang.
Le coup de filet n’a toutefois pas permis d’arrêter l’administrateur de LockBit. Plutôt que d’attendre le moment propice pour l’arrêter, les polices occidentales ont privilégié une autre approche, en tentant de lui compliquer la vie et de ruiner sa réputation chez les cybercriminels. A voir si cette stratégie paiera. Et si elle permettra à terme d’éviter à de nouvelles victimes de devoir saisir le FBI pour remettre en clair leurs fichiers.