Après l’opération Cronos, LockBit cherche à donner l’impression de rebondir
Durant le week-end, les opérateurs de la franchise mafieuse ont relancé une vitrine avec ses miroirs. Les noms d’une quinzaine de victimes y sont épinglés. En grande majorité, des revendications déjà publiées avant l’opération Cronos.
Sitôt tombé, sitôt relevé ? S’il reste à démontrer que cela vaut pour la franchise LockBit en elle-même, cela semble plutôt pertinent pour son site vitrine, où sont placardées les revendications de ses victimes, et ses miroirs.
Durant le week-end, les opérateurs de la franchise se sont en effet activés à relancer leurs affaires. À l’heure où sont publiées ces lignes, les noms de 15 victimes sont publiés, aux côtés d’un message provocateur à l’intention du FBI – les autres forces de l’ordre impliquées dans l’opération Cronos apprécieront sans doute d’être ainsi ignorées.
Dans ce message, LockBitSupp – le porte-parole de la franchise – estime notamment que « les actions du FBI visent à détruire la réputation de mon programme d’affiliation, ma démoralisation [sic], ils veulent que je parte et que je quitte mon travail, ils veulent me faire peur parce qu’ils ne peuvent pas me trouver et m’éliminer, on ne peut pas m’arrêter, on ne peut même pas espérer ».
Publications d’anciennes données à venir
Bravache, LockBitSupp promet aussi d’améliorer son infrastructure pour en augmenter la résilience et la résistance à une potentielle nouvelle compromission, avec décentralisation et cloisonnements.
En attendant, les revendications publiées ne trahissent en rien une reprise des affaires pour la franchise mafieuse. Dans son message publié durant le week-end, l’opérateur assurait disposer des données de « nombreuses » victimes, promettant qu’elles « seront publiées ultérieurement dans un nouveau blog ».
C’est à ce recyclage de revendications antérieures à l’opération Cronos que procède actuellement LockBitSupp. Et encore : l’échantillon publié pour l’heure ne plaide pas pour la réutilisation des données exfiltrées par plus d’un ou deux fidèles affidés.
En outre, pour l’essentiel des revendications publiées, LockBitSupp invite à négocier via la messagerie chiffrée Tox, laissant suspecter la perte des identifiants uniques associés aux victimes correspondantes ainsi qu’aux clés de chiffrement.
Il n’y a guère que pour les hôpitaux Ernest Heatlh que la publication suggère une attaque potentiellement survenue depuis la restauration de l’infrastructure de LockBit. Aucun incident se rapportant à cette organisation de santé n’a en tout cas, pour l’heure, été rapporté dans la presse américaine, à l’heure où sont publiées ces lignes.
Une pente difficile à remonter ?
Reste à savoir à quel point le capital confiance de la franchise LockBit a été entamé et pour combien de temps. Dans son message publié durant le week-end, il concède qu’une majorité des attaques conduites au nom de la franchise sont le fait de « de partenaires qui chiffrent […] par force brute et envoient des spams sur des ordinateurs individuels, en exigeant des rançons de 2 000 dollars ».
Ce qui renvoie aux propos d’un cybercriminel bien connu, lié notamment aux activités de LockBit, en septembre 2023 : « les attaques sérieuses ne peuvent être menées que par un très petit nombre de personnes ».
Et justement, qu’il s’agisse de petites frappes cybercriminelles ou de profils plus « senior », la question est de savoir combien, sur les moins de 190 qui sont passés par la franchise depuis son lancement, lui sont encore loyaux, et lesquels. Sans compter la question clé de la confiance des courtiers en accès initiaux.