Touchés mais pas coulés. Voici en substance le message des cybercriminels de LockBit, dont l’infrastructure avait été saisie la semaine dernière par une task force policière internationale, auquelle ont participé des gendarmes français. Ce week-end, le gang de rançongiciel a ainsi remis en ligne un nouveau site de fuite de données et publié un long message pour donner sa version des faits.
Le groupe, par l’intermédiaire du mystérieux LockBitSupp, son porte-parole, a reconnu une négligence, avec l’oubli d’une mise à jour critique de PHP. Et il a lié l’opération policière à une attaque informatique en cours contre un comté américain, qui aurait abouti à la fuite de documents judiciaires relatifs à Donald Trump. Une allégation curieuse alors que la riposte policière à LockBit a certainement dû être préparée pendant des mois, voire des années.
Dans une interview à l’agence de presse AEF, le chef des cybergendarmes du C3N (Centre de lutte contre les criminalités numériques) signale d’ailleurs que la décision de réaliser ce coup d’arrêt à LockBit a été prise collectivement “il y a deux mois”, après que les différents partenaires policiers aient suffisamment avancé sur l’identification des infrastructures du groupe criminel.
Fuite du nouveau rançongiciel
Ces fanfaronnades de LockBit sont peut-être destinées à masquer l’un des gros problèmes actuels du gang. Dans des documents mis en ligne dans la foulée de l’opération policière, l’entreprise de cybersécurité Trend Micro a en effet dévoilé le visage de la nouvelle version du programme malveillant en cours de développement.
Ce LockBit 4.0 aurait dû vraisemblablement succéder la première version du rançongiciel, apparue en janvier 2020, à la seconde, surnommée “Red”, et à la troisième, “Black”. Il existe également une quatrième mouture, “Green”, qui avait repris des portions de code du rançongiciel Conti.
Selon Trend Micro, qui a planché sur l’étude du programme malveillant avec la National Crime Agency, l’agence policière britannique, la nouvelle version de LockBit en préparation devait être basée sur .Net et compilée avec CoreRT. Dans le détail, le rançongiciel en gestation dispose de trois modes de chiffrement: rapide, intermittent et complet.
Création de nouveaux modèles
Le nouveau programme malveillant semble avoir moins de capacités que les versions précédentes, comme par exemple l’auto-propagation ou l’impression de notes de rançons via les imprimantes de la victime. Mais des nouvelles fonctionnalités seront probablement rajoutées ultérieurement.
“Dans l’état actuel des choses, il s’agit toujours d’un ransomware fonctionnel et puissant”, prévient Trend Micro. Tout en signalant qu’avec ce changement de langage de programmation, “la base de code est complètement nouvelle, ce qui signifie que de nouveaux modèles de sécurité devront probablement être créés pour la détecter”.
Or avec la publication de premiers indicateurs de compromission par l’entreprise, c’est un travail qui a déjà commencé. Une bonne nouvelle pour les professionnels de la sécurité informatique, qui vont pouvoir mettre à jour leurs défenses.