DragonImages - Fotolia
Opération Cronos, exit-scam Alphv : lequel a le plus affecté l’écosystème ransomware ?
L’opération Cronos et l’exit-scam d’Alphv (BlackCat) début 2024 ont eu un effet sur le petit monde de la cybercriminalité. Et il est observable, tant dans l’évolution des revendications croisées entre enseignes de ransomware, que dans celle de l’activité de LockBit 3.0.
C’était le 19 février : les forces de l’ordre de plusieurs pays, dont la France, lançaient le volet public d’une importante opération de déstabilisation à l’encontre de la franchise mafieuse LockBit 3.0. Le voile était levé sur l’opération Cronos.
Quelques semaines plus tard, un autre séisme venait secouer la planète ransomware : Alphv (aussi appelé BlackCat) partait avec la caisse, après avoir floué un affidé de sa part d’une rançon de 22 millions de dollars.
C’est face aux répercussions considérables sur le système de santé américain, de la cyberattaque l’ayant frappé, que Change Healthcare aurait décidé de verser cette rançon. Mais ensuite, quels impacts ont eu ces deux événements sur l’écosystème cybercriminel ?
La question est d’autant plus prégnante que LockBitSupp, l’opérateur de la franchise mafieuse bien connue, s’est attaché très vite à donner l’impression de rebondir, fin février. Fin mars, sa reprise d’activité était confirmée. Mais ce n’était pas suffisant.
Début mai, LockBit se lançait dans une nouvelle opération de communication… juste avant que ne soit rendu public l’épisode 2 de la série Cronos. Ce dernier ne l’a d’ailleurs pas refroidi : dans les jours suivants, il a continué de multiplier les revendications, mais rarement fraîches.
Le mois de juin a ensuite été marqué par le silence quasi total de la franchise LockBit 3.0 : seules 11 revendications de victimes sont apparues, le mois dernier, sur son site vitrine, dont 6 se sont avérées se rapporter à des événements antérieurs. En juillet, le retour semble plus marqué.
Ces revendications et leur fraîcheur comptent parmi les éléments observables permettant d’estimer l’impact de Cronos et de l’exit-scam de Alphv sur l’écosystème cybercriminel du ransomware. À cela s’ajoutent les revendications croisées.
Ces revendications – ou crossclaims en anglais – témoignent essentiellement d’une cyberattaque conduite par un même acteur utilisant deux bannières pour mener ses activités : les franchises de ransomware sont de plus en plus utilisées comme de simples marques, des écrans de fumée derrière lesquels se cachent les affidés. Récemment, Anastasia Sentsova, analyste chez Analyst1, s’est penchée sur le sujet dans le cadre d’une enquête sur RansomHouse.
Nous nous sommes concentrés sur une période plus restreinte, de janvier 2023 à aujourd’hui, en excluant Snatch et Dispossessor, deux usines à recyclage de données volées, et Werewolves, considéré comme un affidé LockBit 3.0.
Des mouvements de fuite de cette franchise mafieuse sont clairement observables, vers un éventail d’enseignes plutôt large (7) et en deux vagues. Certaines revendications suggèrent même que des pentesters avaient choisi de redonner leur confiance à LockBit entre le premier épisode de Cronos et le second, avant de se raviser.
En termes migratoires observables, l’exit-scam de Alphv semble avoir eu un impact plus important, avec près de 15 victimes revendiquées, pour ensuite réapparaître, sous une autre enseigne, après l’incident. Et c’est LockBit 3.0 qui en a le plus profité, avant l’épisode 2 de Cronos, début mai : les noms de 9 victimes y ont resurgi.
Mais l’activité de LockBit 3.0 semble avoir été nettement affectée par Cronos. En janvier et février, le groupe publie des revendications dont une large majorité se rapporte à des événements inédits survenus durant le mois de revendication.
Et en mars, patatras. Là, le niveau de revendications portant sur des faits inédits récents s’effondre. Il ne se relèvera pas en avril, où même le nombre de revendications datées reculera considérablement.
Début mai, LockBit 3.0 bombe le torse. Mais la moitié des revendications concerne des faits antérieurs – et parfois de beaucoup. Par exemple, les données attribuées à l’Allemand Binder – revendiqué le 9 mai – semblent avoir été obtenues par la franchise en novembre 2023. Et celles du Chilien Amsoft et du Brésilien Cultivar, affichés à la même date que Binder ? Novembre 2022 et juillet 2022, respectivement.
Il faut attendre juillet pour avoir un début de reprise perceptible, avec des revendications potentiellement « fraiches » à un niveau supérieur à ceux de mars et avril, mais loin derrière ceux de janvier et février.
Derrière les faux-semblants
L’examen des dates de création de fichiers et de dossiers et des données divulguées par LockBit 3.0 permet une reconstruction estimative de la chronologie des faits et de l’activité de la franchise et de ses affidés au cours des premiers mois de l’année.
Plusieurs estimations sont confortées par les cyberattaques rapportées dans les médias :
- Une attaque a été rapportée comme survenue le 20 mars 2024 contre Nampak ; elle a été revendiquée chez LockBit 3.0 le 26 mars ; l’examen des dates de création de fichiers et dossiers des données divulguées fait ressortir la date du 20 mars.
- Une attaque a été rapportée comme survenue le 5 mai 2024 contre l’université de Sienne, en Italie ; elle a été revendiquée chez LockBit 3.0 le 18 mai ; l’examen des dates de création de fichiers et dossiers des données divulguées fait ressortir la date du 3 mai.
- La ville de Wattle Range, en Australie, a reconnu, le 24 juillet dernier, avoir été victime d’une récente cyberattaque… revendiquée le 18 juillet sur la vitrine de LockBit 3.0. L’examen des données suggère qu’elle soit survenue le 20 juin.
- Le Comté de Clay, dans l’Indiana, a fait état d’une cyberattaque survenue le 9 juillet. LockBit 3.0 l’a revendiquée 9 jours plus tard. Les données examinées font ressortir la date du 8 juillet.
La chronologie corrigée de l’activité de la franchise au cours des premiers mois de 2024 suggère que le premier épisode de l’opération Cronos n’a eu qu’un effet immédiat relativement limité sur LockBit 3.0 : le niveau d’activité estimée pour mars est comparable à celui de janvier.
Un recul de l’activité est observé sur avril, mais largement compensé en mai. Ou pas. Certaines récentes revendications restent comptées comme des attaques survenues au cours du mois de publication, faute de pouvoir estimer la date de la cyberattaque sur la base des fichiers dérobés : présentés comme entièrement divulgués, certains sont totalement introuvables ; cela concerne une trentaine de de victimes pour le mois de mai.
C’est en fait sur juin et juillet que les effets de l’opération Cronos semblent se faire le plus sentir, suggérant un fort impact de l’épisode 2 de l’opération.
Une confiance à reconstruire ?
L’indisponibilité des données pour certaines victimes récemment revendiquées peut en être interprétée comme un signe supplémentaire : LockBit semble avoir acquis les données de certaines victimes revendiquées en mai tardivement, bien après la revendication ; il ne peut être exclu qu’un ou plusieurs affidés aient tourné talons avant de livrer les données.
Aujourd’hui, LockBit 3.0 semble être moins que son ombre et remonter la pente pourrait s’avérer difficile pour la franchise. Ce qui ne signifie pas que cela ne sera pas fait. Mais l’écosystème cybercriminel apparaît plus fragmenté que jamais. Et reste à savoir si LockBitSupp saura attirer à nouveau sur la base de ses compétences, apparemment réputées, notamment pour la négociation, pour réunifier ce qui a été éparpillé.
Publié initialement le 13 août 2024, mis à jour le 28 août 2024.