LockBit 3.0 : pourquoi la revendication de cyberattaque contre Darktrace est un piège
Tôt ce jeudi 13 avril au matin, les opérateurs de la franchise LockBit 3.0 ont revendiqué une cyberattaque contre Darktrace, spécialiste de l’analyse du trafic réseau. Un mensonge assumé.
Il est tôt, très tôt, ce jeudi 13 avril au matin, lorsqu’apparaît, sur la vitrine de la franchise LockBit la revendication d’une cyberattaque contre Darktrace.
Sans surprise, cette publication fait du bruit : le britannique Darktrace est un fournisseur de solutions de sécurité basées sur l’analyse du trafic réseau. Darktrace est même coté en bourse outre-Manche.
En fin de matinée, Darktrace publie une déclaration indiquant être au courant de ces allégations. Mais « nos équipes de sécurité ont procédé à un examen complet de nos systèmes internes et n'ont trouvé aucune preuve de compromission ». L’intéressé est formel : « aucun des messages de LockBit sur les médias sociaux n'est lié à des données compromises de Darktrace ».
Prudent, il ajoute tout de même : « nous continuerons à suivre la situation de très près, mais sur la base de nos investigations actuelles, nous sommes convaincus que nos systèmes restent sécurisés et que toutes les données de nos clients sont entièrement protégées ».
Mais Darktrace a raison ; les opérateurs de LockBit 3.0 le reconnaissent eux-mêmes. Ils expliquent, à VX Underground, que leur revendication est en fait un message adressé au spécialiste du renseignement sur les menaces DarkTracer.
Ce 12 avril au matin, celui-ci avait souligné certaines publications récentes sur la vitrine de LockBit 3.0, apparemment incohérentes. Et d’estimer : « la fiabilité du service RaaS opéré par le gang de ransomware LockBit semble avoir décliné. Ils apparaissent négliger la gestion du service, alors que de fausses victimes et des données sans le moindre sens ont commencé à remplir la liste, qui est laissée sans surveillance ».
Les opérateurs de LockBit 3.0 ont profité de la presqu’homonymie de Darktrace avec DarkTracer pour attirer l’attention. Et d’expliquer que les anomalies observées par le second ne sont que l’effet de tests résultant d’une mise à jour « de la sécurité des communications serveur-à-serveur ».