Antonioguillem - stock.adobe.com

Ransomware LockBit : une version 3.0 fruit d’un croisement avec BlackMatter

L’examen des premiers échantillons disponibles de la version 3.0 du ransomware LockBit fait ressortir d’étonnants liens de parenté avec BlackMatter et son prédécesseur, Darkside. Mais l’union pourrait n’être pas vraiment consentie.

La version 3.0 de LockBit a été annoncée mi-mars et observée pour la première fois dans une cyberattaque fin avril. Le passage à cette nouvelle mouture n’a toutefois été officialisé que fin juin. Surtout, un premier échantillon n’a pu commencer à être largement analysé par la communauté de chercheurs en sécurité que tout début juillet, grâce à la contribution d’Arda Büyükkaya, d’Infinitium IT.

Très vite, un chercheur de ReaQta (IBM) a fait une observation intrigante : l’échantillon déclenchait une règle Yara taillée pour BlackMatter. Pour mémoire, les règles Yara sont construites à partir de segments de code compilé suffisamment spécifiques à un logiciel pour que la règle permette d’en détecter de nouveaux échantillons. Les règles Yara ne sont pas parfaites et peuvent générer des faux positifs. Mais dans le cas de LockBit 3.0, la règle avait vu juste.

En fin de journée du 3 juillet, Fabian Wosar, d’Emsisoft était formel : « de larges portions de code sont directement tirées de BlackMatter/Darkside ». Même son de cloche du côté d’Arda Büyükkaya.

LockBit 3.0 a un nom particulier : il est appelé LockBit Black par les opérateurs de la franchise mafieuse. Pour Fabian Wosar, ce n’est pas hasard : la nouvelle mouture du ransomware a délibérément été ainsi nommée pour suggérer, sinon souligner ce croisement. Mais a-t-il été consenti ? Pas sûr.

Pour Fabian Wosar, « il est clair que LockBit a mis ses mains sales sur le code d’un autre groupe ». Il n’est pas seul à penser ainsi. Un utilisateur de Twitter apparu en février affirme ainsi qu’il faut regarder du côté d’un Wazawaka, lequel serait à l’origine d’opérations ayant permis aux opérateurs de LockBit de mettre la main sur le code de Conti, Darkside, BlackMatter, et plus encore.

Qui est Wazawaka ? Brian Krebs a publié une enquête sur lui mi-janvier. Wazawaka est un ancien du monde de la cybercriminalité russe, et vendeur d’accès initiaux. À notre confrère, il explique avoir travaillé avec LockBit ainsi qu’avec DarkSide. Son véritable nom ? Mikhail Pavlovich Matveev. C’est lui qui serait à l’origine de la franchise – à l’existence brève – Babuk, et du forum spécialisé RAMP créé après la fermeture de la franchise.

Azim Shukuhi, de Talos, s’est également longuement penché sur Wazawaka – aussi connu sous le pseudonyme boriselcin – et évoquait, en février 2021, ses liens avec LockBit, BlackMatter et d’autres franchises. Une véritable guerre intestine apparaissait alors plus ou moins déclarée entre cybercriminels. Elle vient peut-être d’entrer dans une nouvelle phase avec le lancement de LockBit Black.

Pour approfondir sur Cyberdélinquance

Close