Les cybercriminels de LockBit sont loin d’en avoir fini avec l’opération Cronos, ce démantèlement international de l’infrastructure du gang de rançongiciel. Car même si les leaders de ce groupe criminel ne sont pas arrêtés après ce coup d’éclat, ils vont avoir du mal à rebondir.
Comme le remarquent les experts de l’entreprise de renseignement sur les cybermenaces Recorded future, les options existantes pour le gang sont en effet réduites. Les cybercriminels pourraient tout d’abord se retirer pour se contenter de vivre du fruit de leurs rapines, une hypothèse jugée toutefois peu probable.
Mauvaise publicité
LockBit pourrait également tenter de lancer une quatrième version de son programme de franchise. Au moins un site miroir des données volées par le gang est d’ailleurs toujours accessible. Le gang pourrait également tenter d’essaimer à travers une multitude de nouvelles franchises. Un modèle déjà vu avec les anciens de Conti, ce rançongiciel qui avait explosé en vol après l’invasion de l’Ukraine par la Russie.
Mais ces deux alternatives sont aujourd’hui contrariées par la très mauvaise publicité faite au gang. Les rançongiciels comme LockBit font leur beurre grâce au déploiement du logiciel malveillant chez des cibles par des affiliés, des tiers derrière les extorsions proprement dites. Pour convaincre ces pirates de passer par la franchise, il faut à la fois inspirer confiance et donner une large part des rançons obtenues.
Liste d’affiliés
Cette confiance est aujourd’hui largement érodée. Coup de bluff ou avertissement, les polices à l’origine de l’opération Cronos viennent ainsi de dévoiler une capture d’écran particulièrement intéressante. Il s’agit d’une liste de création de comptes, ouverte à partir de janvier 2022, qui correspond manifestement à la liste de 187 affiliés de la version 3 du rançongiciel repérée à partir de mars 2022.
On ignore dans quelle mesure ces informations pourraient permettre aux polices de remonter aux affiliés. Mais il est vraisemblable qu’a minima, le gang n’inspire plus la confiance nécessaire pour rassembler à nouveau autant de pirates informatiques autour de lui.
Détail croustillant, une petite vingtaine de ces comptes ont été créés en début d’année 2024, alors que l’infrastructure du gang devait déjà être sous la surveillance des forces de l’ordre. Autant de cybercriminels qui peuvent dire aujourd’hui adieu à leur caution d’un bitcoin demandée par les développeurs de LockBit à l’inscription dans le programme d’affiliés.