Réserve fédérale américaine : la revendication de LockBit 3.0 fait pschitt

L’enseigne de ransomware LockBit 3.0 a prétendu s’être introduite dans la Réserve fédérale américaine, mais elle a finalement divulgué des données appartenant à une seule banque. Un épisode qui rappelle d’autres mensonges de la franchise mafieuse.

Le 23 juin, LockBit a inscrit la Réserve fédérale américaine sur son site vitrine et affirmé avoir obtenu environ 33 To de données volées. La franchise a également publié un compte à rebours avec une date limite fixée au 25 juin, à laquelle elle publierait les données volées. À l’expiration du délai, des chercheurs ont analysé les données publiées et ont constaté qu’elles appartenaient à une seule organisation : Evolve Bank & Trust, une société bancaire basée dans l’Arkansas.

Dans une déclaration partagée avec la rédaction de TechTarget, Evolve a confirmé qu’elle enquêtait sur un incident de cybersécurité, mais n’a pas nommé spécifiquement LockBit. Elle a toutefois confirmé que des données volées avaient été publiées sur le dark web : « Evolve enquête actuellement sur un incident de cybersécurité impliquant une organisation cybercriminelle connue. Il semble que ces acteurs malveillants aient publié, sur le dark web, des données obtenues illégalement. Nous prenons cette affaire très au sérieux et travaillons sans relâche pour remédier à la situation. Evolve a fait appel aux autorités policières compétentes pour l’aider dans son enquête et ses efforts de réponse. L’incident a été circonscrit et il n’y a plus de menace ».

LockBit 3.0 est une enseigne de ransomware-as-a-service notoire et prolifique, qui a connu une histoire récente tumultueuse. Le mois de février a été marqué par l’opération Cronos, une opération internationale menée par l’Agence nationale de lutte contre la criminalité du Royaume-Uni, la NCSA, qui a donné lieu à deux arrestations et à la saisie de l’infrastructure du gang. Les forces de l’ordre ont également obtenu plusieurs milliers de clés de déchiffrement.

À la suite de l’opération Cronos, la franchise mafieuse a rapidement tenté de mettre en scène un rebond. Mais une large partie des nombreuses revendications publiées ces derniers mois sur les sites vitrine de LockBit 3.0 avaient déjà été publiées avant l’opération Cronos, pour beaucoup entre décembre 2023 et début février 2024. D’autres sont encore plus anciennes, comme la revendication d’attaque contre Île-de-France Nature, déjà publiée en août 2023, et confirmée. 

Celles qui étaient inédites semblaient se rapporter à des faits parfois bien antérieurs, comme pour certaines revendications rendues publiques le 6 mai : Bouchemaine, ou Île-de-France, Nature, par exemple. En fait, sur 176 victimes revendiquées en mai 2024 sur la vitrine de LockBit 3.0, nous pouvons estimer avec un niveau de confiance élevé que 68 revendications portaient sur des faits antérieurs – et parfois de plusieurs mois. Les données volées à la banque Evolve semblent elles-mêmes avoir été acquises par la franchise mafieuse au mois d’avril.

Ce n’est pas la première fois que l’enseigne ment sur l’une de ses victimes afin d’attirer l’attention. Début 2022, elle avait revendiqué une cyberattaque contre le ministère de la Justice français, alors qu’elle n’avait frappé qu’un cabinet d’avocats du Calvados. Quelques mois plus tard, c’était au tour de Mandiant de faire l’objet d’une revendication mensongère. Le groupe Thales allait connaître la même désagréable expérience à l’automne 2022.