Lockbit annonce revenir encore plus fort après le démantèlement de son infrastructure la semaine dernière par les cyberpoliciers de nombreux pays, dont la France. Le cybergang explique les raisons de son piratage et reprend ses activités.
au sommaire
S'il a pris un coup dur lors du démantèlement de 34 serveurs avec l'opération Cronos menée par les cyberpoliciers de plusieurs pays - dont la France -, le collectif Lockbit n'a pas pour autant rendu les armes. Malgré des arrestations, le blocage des serveurs et la divulgation de mille clés de déchiffrement que rapportait Futura la semaine dernière, le groupe vient de relancer son activité. Et l'un de ses membres, qui semble être un responsable de haut rang, vient même de publier un très long billet dans lequel il fanfaronne.
Il affirme que c'est parce qu'il est devenu très paresseuxparesseux - car il nage dans l'argentargent depuis cinq ans - qu'il a été négligeant et que la plateforme a été piratée par les autorités. L'attaque collective qu'il attribue principalement au FBI s'est déroulée via deux serveurs PHPPHP qui n'avaient pas été mis à jour selon lui. Les cyberpoliciers se sont donc servis d'une vulnérabilité PHP 8.1.2 connue sous l'appellation CVE-2023-3824. Aujourd'hui cette faille serait comblée et Lockbit explique qu'ils n'ont perdu que les serveurs exécutant PHP et que les sauvegardes sont intactes.
Lockbit renforce sa sécurité
Le cybergang a déplacé sa plateforme lui permettant de faire fuiter les données collectées en cas de non règlement d'une rançon sur une nouvelle adresse en .onion. La page du site se veut offensive, avec plusieurs attaques en cours sur de grandes sociétés américaines, et même une pointure française. Des comptes à rebours pour d'autres cibles sont affichés, dont un concerne ironiquement le FBI. Le groupe affirme qu'il sera désormais bien plus difficile à pirater et, comme toute grande entreprise, propose même de récompenser les hackers qui parviendraient à trouver une vulnérabilité dans la dernière version.
D'après Lockbit, la raison pour laquelle les autorités l'ont attaqué provient de l'attaque par ransomware sur le comté de Fulton en Géorgie (Etats-Unis) en janvier dernier. Pour ce qui est des clés de déchiffrements collectées par les agences internationales, elles ne représenteraient qu'une infime partie de ce qui existe. Elles concernaient les demandes de rançons ne dépassant pas les 2000 dollars. Avec son message et ses actions, notamment un renforcement de la décentralisation de son infrastructure Lockbit cherche pour le moment à redorer son blason et à retrouver sa crédibilité et sa réputation. Le groupe n'en reste pas moins redoutable.
Cybersécurité : un des plus dangereux groupes de hackers visé par une opération internationale !
Fin de partie pour le cybergang Lockbit ! Vraiment ? Si l'infrastructure du groupe a été neutralisée par les forces conjointes de plusieurs pays, la nature même de Lockbit et sa manne financière ne marquent pas forcément la fin de la guerre contre ce groupe. Explications.
Article de Sylvain BigetSylvain Biget publié le 22 février 2024
« Nous avons hacké les hackers ! » Avec cette courte phrase, Graeme Biggar, le directeur de la NCA, l'agence britannique contre la criminalité, s'est enorgueilli d'avoir participé à l'élimination du groupe appelé LockBit. En coordination avec le FBI, plusieurs pays, dont la France, ont en effet participé à une vaste opération baptisée « Cronos ». Elle a permis d'infiltrer le groupe de hackers et de prendre possession de ses serveurs et services, même dans les tréfonds du darknet. LockBit fait trembler depuis des années de grandes institutions et grands groupes aux États-Unis et en Europe. En tout, ses victimes se compteraient au nombre de 2 500. L'activité du groupe représenterait même un quart des cyberattaques mondiales.
Le saviez-vous ? Les hackers peuvent pirater votre connexion via... vos ampoules ! Décryptage avec Adèle Ndjaki dans Vitamine Tech. © Futura
Rien que pour la France, plus de 200 attaques ont eu lieu. Elles concernaient des hôpitaux, notamment ceux de Corbeil-Essonnes et Versailles, mais aussi des collectivités territoriales, des grands cabinets d'avocatsavocats et de grands groupes industriels comme Thales ou Airbus. Les rançons s'élevaient alors de 5 à 70 millions d'euros. Mais le cybergang est également réputé pour exagérer le nombre d'attaques revendiquées. Ainsi, fin janvier 2022, le groupe affirmait avoir piraté le ministère de la Justice. Il s'agissait en réalité d'un cabinet d'avocats. Il en fut de même pour une prétendue attaque de Schneider Electric qui n'a jamais eu lieu.
Communiqué de presse du Parquet de Paris décrivant la conduite de l’opération « Cronos » pour neutraliser Lockbit. © Parquet de Paris
Ce qui ne tue pas, rend plus fort...
Ce qui distingue Lockbit d'autres groupes de hackers, c'est son fonctionnement. Il ne s'agit pas réellement d'un groupe de pirates, mais plutôt d'un système de location d'outils de ransomwares en tant que service. Il est possible de louer une attaque personnalisée avec mise à disposition d'infrastructures. Le commanditaire va alors devoir reverser une partie de la rançon aux opérateurs loués et aux développeurs de Lockbit. C'est ce procédé qui rend particulièrement insaisissable les participants de ce groupe informel. Des arrestations et des démantèlements ont certes déjà eu lieu dans le passé, mais Lockbit est toujours parvenu à renaître en raison de sa nature même.
Alors Lockbit a-t-il vraiment été annihilé ? À priori, pas vraiment, le groupe est certainement très perturbé par cette prise de contrôle, mais la guerre est loin d'être terminée. Sa capacité d'adaptation a toujours été redoutable. Le groupe a souvent changé de tactique afin de contourner les entraves et pièges des forces de l'ordre.
Lockbit est également assis sur un matelas financier colossal. On estime que l'organisation a amassé autour de 91 millions de dollars rien que pour ses opérations auprès d'organisations américaines. C'est certainement plus que les budgets des équipes internationales cherchant à le démanteler. Une manne financière qui permettra certainement au cybergang de se réinventer en développant de nouvelles techniques et s'adapter aux erreurs qui l'ont fait tomber. On se dirige donc certainement vers un Lockbit 4.0 encore plus redoutable, que l'on devrait voir revenir dans l'espace cyber d'ici quelque temps.
