Lockbit est loin d’être mort. Seulement quelques jours après l’opération de police qui a décimé une partie de son infrastructure, le gang spécialisé dans les ransomwares a repris ses activités. Les pirates revendiquent déjà une dizaine de victimes…
La semaine dernière, une opération de police d’envergure est venue frapper les pirates de Lockbit. Le gang s’est retrouvé privé de la majeure partie de son infrastructure, dont une trentaine de serveurs et ses sites sur le dark web. Dans la foulée, deux hackers, spécialisés dans le blanchiment d’argent, ont été interpellés dans une petite ville de l’ouest de l’Ukraine. D’après les communiqués publiés par le FBI ou les autorités britanniques, l’opération sonnait le glas de Lockbit, après des années d’activités malveillantes.
Bien vite, des experts en sécurité sont venus nuancer les fanfaronnades des enquêteurs. Bien que mal en point, le gang spécialisé dans les ransomwares n’est pas complètement mort. Comme prévu, le groupe a refait surface. Ce week-end, soit moins d’une semaine après l’opération Cronos, Lockbit a publié un message sur le dark web pour faire le point sur son avenir, les causes de l’offensive et ses activités.
À lire aussi : Dopés à l’IA, les ransomwares sont de plus en plus dangereux et actifs
Une négligence à l’origine de l’opération Cronos
Le message, relayé par nos confrères de Bleeping Computer, indique que ses serveurs ont été restaurés. En parallèle, le gang s’est offert de nouveaux domaines Tor pour exercer ses opérations. Une nouvelle plateforme pour publier les données des victimes récalcitrantes a surtout été mise en ligne sur le dark web. En seulement quelques jours, les pirates ont remis sur pied une toute nouvelle infrastructure. Comme on le craignait, les cybercriminels toujours dans la nature se sont rapidement mis à l’œuvre pour restaurer toutes les capacités de Lockbit.
Par ailleurs, Lockbit est revenu sur les circonstances qui ont permis aux forces de l’ordre d’organiser leur opération. Le responsable du gang admet avoir fait preuve de « négligence personnelle » et « d’irresponsabilité » en négligeant de mettre les serveurs PHP de Lockbit à jour dans les temps. Cet oubli a permis aux forces de police d’exploiter une faille de sécurité dans le langage de programmation PHP. Lockbit ignore s’il s’agit d’une brèche inconnue, de type zéro-day, ou une faille identifiée récemment. C’est en tout cas de cette manière que les enquêteurs se sont infiltrés dans le système de Lockbit. Le gang a promis de récompenser les individus qui trouveraient une nouvelle brèche dans le code de PHP.
« La version installée sur mes serveurs était déjà connue pour avoir une vulnérabilité connue, donc c’est très probablement la façon dont les serveurs d’administration […] ont été consultés », indique Lockbit.
Aux dires des cybercriminels, le FBI a précipité l’opération Cronos à la suite de l’attaque par ransomware survenue contre le comté de Fulton (Georgie) aux États-Unis. Lors de cette offensive, le ransomware a provoqué de sérieuses pannes informatiques tout en s’emparant d’une montagne de documents confidentiels. D’après Lockbit, le virus a surtout volé des documents concernant « les affaires judiciaires de Donald Trump », susceptibles d’affecter les prochaines élections présidentielles. C’est là que l’ancien président a été arrêté l’été dernier, avant d’être relâché. Pour éviter que Lockbit divulgue ces données sensibles, le FBI aurait accéléré l’offensive contre le gang. Pour l’heure, rien ne permet d’étayer les assertions des pirates.
Les responsables de Lockbit en profitent pour déprecier les informations obtenues par les autorités au terme de l’opération Cronos. D’après les pirates, les enquêteurs n’ont pu obtenir qu’une poignée des clés de déchiffrement présentes sur les serveurs. De même, ils révèlent que les informations concernant les surnoms des affiliés ne sont pas représentatives de leurs pseudonymes sur le reste du dark web. Ces données ne permettent donc pas aux enquêteurs de remonter jusqu’à eux.
Le message du gang ressemble à une opération de communication visant à rassurer les utilisateurs du ransomware et à tempérer les dégâts de l’offensive policière en matière d’image. Sans surprise, Lockbit cherche à minimiser l’ampleur de l’opération Cronos.
Déjà 12 nouvelles victimes pour Lockbit
Surtout, il semble que le ransomware Lockbit se soit déjà attaqué à de nouvelles entités. Sur la nouvelle page consacrée sur le dark web, les hackers ont mis en ligne une liste de douze victimes ce week-end. On y trouve par exemple une société britannique spécialisée dans l’acier, un groupe d’aviation américain, le FBI ou encore une entreprise française de la logistique en industrie. Le site web répertorie aussi une nouvelle attaque contre le comté de Fulton.
Les chercheurs de Sophos ont d’ailleurs identifié une pluie de nouvelles attaques utilisant le malware Lockbit 3.0 au cours des derniers jours. Le virus a apparemment exploité deux vulnérabilités découvertes dans le code de ConnectWise ScreenConnect, un logiciel de support à distance. Ces deux failles ont été promptement corrigées par les développeurs, mais tout le monde n’a pas encore installé le correctif. Après enquête, Sophos révèle avoir repéré une souche bien précise de Lockbit, intitulée Lockbit Black.
La vengeance de Lockbit
À l’avenir, Lockbit s’est engagé à s’attaquer aux sites gouvernementaux des États-Unis, en guise de représailles. D’après les dirigeants du gang, cette stratégie va forcer le FBI à mettre la pression sur les hackers, ce qui devrait in fine les rendre plus forts. Avec ces diverses menaces, Lockbit montre les crocs et montre qu’il ne se laissera pas abattre aussi facilement.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source :
Bleeping Computer