wigglestick - stock.adobe.com
Coup dur pour LockBit 3.0 : le FBI trouve 7 000 clés de déchiffrement
Les autorités américaines affirment avoir en leur possession plus de 7 000 clés de déchiffrement pour le ransomware de la franchise LockBit 3.0 et invitent ses victimes à se manifester.
Le FBI a révélé être en possession de milliers de clés de déchiffrement pour le ransomware LockBit, et souhaite que les victimes de cette franchise mafieuse se fassent connaître si elles souhaitent obtenir de l’aide pour récupérer leurs données chiffrées avec ce rançongiciel.
S’exprimant le mercredi 5 juin lors d’une conférence sur la cybersécurité à Boston (Massachusetts), Bryan Vorndran, directeur adjoint de la division cyber du FBI, a déclaré que l’agence souhaitait faire bon usage de son trésor de clés et a appelé les victimes américaines à contacter le FBI. Les victimes d’autres pays sont invitées à contacter les autorités nationales chargées de la cybersécurité.
« Nous disposons désormais de plus de 7 000 clés de décryptage et pouvons aider les victimes à récupérer leurs données et à se remettre en ligne », a déclaré Bryan Vorndran. « Nous nous adressons aux victimes connues de LockBit, et encourageons toute personne qui pense avoir été victime à visiter notre centre de plaintes contre la criminalité sur Internet (Internet Crime Complaint Center) à l’adresse ic3.gov ».
Développé par un ressortissant russe du nom de Dmitry Khoroshev, qui a utilisé des pseudonymes en ligne tels que LockBitsupp, Nerowolfe et Putinkrab, LockBit a été déployé par divers acteurs du ransomware-as-a-service (RaaS) dans plus de 2 400 cyberattaques au fil des ans, extorquant des milliards de dollars aux victimes.
Depuis que la franchise a été infiltrée et perturbée en février, les autorités ont retourné les tactiques de Koroshev et de ses sbires contre eux, en les nommant et en les dénonçant, et même en les trollant en ligne.
« [Khoroshev] entretient l’image d’un hacker de l’ombre… Mais en réalité, c’est un criminel, plus pris par la bureaucratie de la gestion de son entreprise que par des activités secrètes », a raillé Bryan Vorndran. Et d’assurer que celui-ci « a essayé de nous convaincre d’être indulgents à son égard en dénonçant ses concurrents, en désignant d’autres opérateurs de ransomware en mode service. C’est un peu comme si l’on avait affaire à des gangs du crime organisé, où le chef se couche et demande de l’indulgence. Nous ne serons pas indulgents avec lui ».
Raj Samani, vice-président senior et scientifique en chef de Rapid7, a commenté : « la découverte et la publication de plus de 7 000 clés de déchiffrement de LockBit sont un nouveau coup de pied dans la fourmilière du groupe de ransomware et une grande victoire pour les forces de l’ordre. Les logiciels comme LockBit survivent et prospèrent grâce au paiement des rançons par les victimes. Il est donc formidable de voir le gouvernement américain prendre les devants et empêcher cette pratique en publiant gratuitement les clés de déchiffrement ».
« Depuis que les forces de l’ordre ont détruit l’infrastructure de LockBit en février 2024, le groupe s’est lancé dans des opérations de relations publiques et de contrôle des dommages pour montrer sa force et conserver la confiance de ses affiliés. Cependant, de telles annonces du FBI nuisent à cette confiance, et nous espérons voir bientôt la fin du groupe de ransomwares LockBit », a-t-il ajouté.
Les attaques de LockBit se poursuivent
Bien que l’opération de répression contre LockBit soit largement considérée comme un succès et qu’elle ait eu un impact visible sur l’écosystème des ransomwares, les perturbations causées ne signifient pas que la menace de LockBit s’est éloignée. En effet, les affiliés de l’opération continuent de mener des cyberattaques sporadiques et parfois très médiatisées.
Parmi les victimes qui ont été touchées depuis le piratage de février, on peut citer l’hôpital Simone Veil à Cannes (France), l’université de Sienne (Italie), la chaîne de pharmacies canadiennes London Drugs, ou encore tout récemment Dammartin-en-Goële. Depuis cette date, la franchise est impliquée dans au moins 8 cyberattaques en France.
Chronologie : chronologie d’un bras de fer
- 19 février 2024 : La célèbre équipe du ransomware LockBit a été démantelée lors d’un coup de filet international, l’opération Cronos.
- 20 février : L’Agence nationale de lutte contre la criminalité (National Crime Agency) du Royaume-Uni et ses partenaires internationaux ont donné plus de détails sur leur audacieuse opération de démantèlement du ransomware LockBit, notamment en annonçant deux arrestations.
- 23 février : Le ransomware développé par la franchise LockBit 3.0 est utilisé de plus en plus largement au-delà de ses rangs. La franchise DragonForce s’en sert notamment.
- 23 février : La NCA a dévoilé des détails sur l’identité du principal administrateur de LockBit par l’intermédiaire du site web compromis du gang, et a laissé entendre qu’il avait eu des contacts avec les forces de l’ordre, tout en levant le voile sur ses finances.
- 26 février : Le chef du gang LockBit refait surface avec de nouvelles infrastructures, affirmant avoir échappé à une opération policière multinationale. Il joue la carte du marketing en multipliant les publications de revendications pour des victimes antérieures à l’opération.
- 7 mars : Les efforts marketing de LockBitSupp deviennent de plus en plus évidents et s’intensifient.
- 20 mars : L’analyse des revendications de victimes republiées sur la vitrine de LockBit 3.0 fait apparaître des liens entre franchises de RaaS.
- 11 avril : Après l’exit-scam d’Alphv, un affidé semble parti chez RansomHub et un autre chez LockBit 3.0.
- 16 avril : Un affidé de la franchise LockBit 3.0 attaque le centre hospitalier Simone Veil à Cannes.
- 7 mai : La NCA britannique et ses partenaires ont désigné l’administrateur du gang du ransomware LockBit, LockBitSupp, comme étant Dmitry Khoroshev, qui fait désormais l’objet de sanctions et de poursuites pénales. L’analyse de l’activité des affidés de la franchise montre qu’un nombre restreint d’entre eux profite réellement de ses activités.
- 10 mai : L’opérateur de la franchise LockBit 3.0 multiplie les revendications, comme un pied de nez aux forces de l’ordre. Mais la grande majorité d’entre elles portent sur des activités antérieures à l’opération Cronos.