Lockbit est hors d’état de nuire. Lors d’une opération conjointe, les forces de l’ordre de onze pays différents se sont attaquées à l’infrastructure du gang spécialisé dans les attaques par ransomware. Les sites des pirates sont tombés entre les mains des autorités. On fait le point sur le coup porté à l’industrie du rançon logiciel.
Une opération coup de poing, baptisée « Cronos » par les forces de l’ordre, vient de mettre à mal les pirates de Lockbit. En unissant leurs forces, les polices de onze pays, dont la France, sont parvenues à prendre le contrôle des sites du dark web utilisés par le gang spécialisé dans les ransomwares. C’est sur ces sites que les cybercriminels publiaient leurs exploits, les données de leurs victimes et leurs demandes de rançon. Sans accès aux sites, les pirates ne peuvent plus communiquer avec leurs victimes. Pour relancer leurs activités, ils vont devoir remettre sur pied une nouvelle infrastructure.
Sur les plateformes de Lockbit, un message indique désormais que le site « est désormais sous le contrôle de la National Crime Agency du Royaume-Uni, qui travaille en étroite coopération avec le FBI ». L’avertissement précise que l’opération visant à démanteler l’infrastructure de Lockbit est toujours en cours :
« Nous pouvons confirmer que les services de Lockbit ont été perturbés à la suite d’une action internationale d’application de la loi – il s’agit d’une opération en cours et en développement ».
Les forces de l’ordre s’engagent à communiquer davantage d’informations concernant l’opération dans un avenir proche. Contacté par CNN, un porte-parole du FBI a déclaré qu’il « y aura une annonce officielle et des détails supplémentaires ».
À lire aussi : une armée de clones de Lockbit déferle sur le web
Un géant des ransomwares à terre
Ces dernières années, Lockbit s’est imposé comme le gang de ransomware le plus redoutable et le plus actif. Pour Malwarebytes, Lockbit est tout simplement « le pire, le plus prolifique et le plus important à l’échelle mondiale » des ransomwares. Pendant un temps, Lockbit était même le ransomware le plus efficace du monde. Il était en effet capable de chiffrer plus de 17 000 fichiers par minute. Lockbit a été détrôné l’année dernière par Rorschach, un autre redoutable ransomware.
Pour diversifier leurs revenus, les pirates se sont mis à proposer leur ransomware par le biais d’un abonnement. L’offre permet aux hackers en herbe d’utiliser le code du virus pour mener leurs propres attaques, moyennant le versement d’une partie de leurs gains. Dans un entretien avec Reuters, Jon DiMaggio, stratège en chef chez Analyst1, compare volontiers Lockbit au géant Walmart :
« Ils sont le Walmart des groupes de ransomware, ils le gèrent comme une entreprise – c’est ce qui les rend différents ».
C’est en partie pourquoi le nombre d’attaques réalisées avec Lockbit a explosé. Par exemple, les États-Unis ont recensé 1 700 attaques depuis 2020. En France, le ransomware est responsable de 27 % des demandes de rançons en 2022. LockBit a orchestré deux fois plus d’attaques que le second ransomware le plus répandu du marché, ALPHV.
Parmi les attaques revendiquées par Lockbit en France, on trouve le piratage du ministère de la Justice, du groupe Thalès, de La Poste mobile et de plusieurs hôpitaux, dont le centre hospitalier d’Armentières ce mois-ci. En dehors de l’Hexagone, on peut aussi citer le hack de Boeing, qui a abouti à la divulgation d’une montagne de données confidentielles, relatives à des questions financières, à des activités de marketing et à des renseignements sur les fournisseurs, le piratage de l’opérateur postal britannique Royal Mail et du plus grand hôpital pédiatrique du Canada.
Un coup fatal ?
Comme l’indique Allan Liska, chercheur en sécurité chez Recorded Future, les hackers derrière Lockbit se trouvent en Russie. C’est pourquoi « il est très peu probable que les membres principaux du groupe LockBit soient arrêtés dans le cadre de cette opération », regrette l’expert. MalwareBytes estime d’ailleurs que l’opération Cronos ne signera pas forcément la fin des activités du gang :
« nous n’avons aucune idée de la gravité des dommages causés à LockBit, et les forces de l’ordre ne font que prétendre que le groupe a été “démantelé” ».
Néanmoins, même si le coup porté à Lockbit n’est pas fatal, l’opération devrait soulever « de sérieuses questions parmi les associés criminels » du gang. Les experts de MalwareBytes s’attendent à ce que les affiliés du groupe, qui ont souscrit à un abonnement pour exploiter le virus, remettent en question la crédibilité des cybercriminels. Quoi qu’il en soit, les autorités ont porté un coup très dur aux activités de Lockbit. L’opération met un terme, du moins temporairement, à l’expansion du ransomware, qui ambitionnait de s’attaquer aux Macs d’Apple.
Un sérieux revers pour le marché du ransomware
Pour Allan Liska, la mésaventure de Lockbit devrait pénaliser l’entièreté du marché des ransomware. L’expert s’attend à ce que l’opération Cronos ait « un impact significatif, même de courte durée, sur l’écosystème des ransomwares avec un ralentissement des attaques ». En effet, Lockbit représentait 25 % du marché des ransomwares, rappelle Don Smith, vice-président de Secureworks :
« Lockbit a éclipsé tous les autres groupes et l’action d’aujourd’hui est très importante ».
Malgré la réticence des victimes à verser une rançon, les cybercriminels ont gagné un montant record de 1,1 milliard de dollars en cryptomonnaies l’année dernière, a révélé Chainalysis. C’est presque le double des 567 millions de dollars extorqués en 2022. Gageons que le coup porté à Lockbit s’accompagne d’une réduction des bénéfices des hackers pour 2024.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source :
CNN