C'est peut-être l'une des plus grosses opérations visant un groupe de ransomware, tant LockBit a défrayé la chronique. Annoncer un démantèlement est sans doute encore trop précoce, mais l'infrastructure de LockBit vient d'être sérieusement mise à mal par les forces de l'ordre.

" Ce site est désormais sous le contrôle de la National Crime Agency du Royaume-Uni, qui travaille en étroite collaboration avec le FBI et le groupe de travail international chargé de l'application des lois ", peut-on lire sur le site principal de LockBit caché sur le réseau Tor avec une adresse en .onion.

Une vingtaine d'autres sites de LockBit sur Tor connaissent le même sort à l'issue d'une opération baptisée Cronos. Une communication officielle sur cette dernière doit avoir lieu dans le courant de la journée. D'ores et déjà, les autorités britanniques évoquent une opération internationale pour interrompre les services de LockBit.

lockbit-saisie-site

Les forces de l'ordre provoquent les affidés de LockBit

Selon vx-underground, les cybercriminels de LockBit ont partagé un message en russe sur l'application de messagerie chiffrée Tox. Ils écrivent que " le FBI a bousillé des serveurs utilisant PHP ", tout en ajoutant que des serveurs de secours sans PHP n'ont pas été touchés. L'exploitation d'une vulnérabilité CVE-2023-3824 serait en cause.

Une capture d'écran montre par ailleurs que lorsqu'un affidé tente d'accéder au panneau de contrôle de LockBit pour lancer des attaques, il a droit à un message des forces de l'ordre : " Nous avons le code source, les détails des victimes que vous avez attaquées, la somme d'argent extorquée, les données volées, les discussions et bien d'autres choses encore. "

Le message pointe du doigt l'infrastructure vulnérable de LockBit et prévient l'affidé : " Nous vous contacterons très prochainement. […] Bonne journée. "

Modèle de Ransomware-as-a-Service

En juin 2023, les agences de cybersécurité de sept pays, dont la France avec l'Anssi (Agence nationale de la sécurité des systèmes d'information), ont publié un avis de cybersécurité sur LockBit (PDF) et le mode opératoire de ce groupe de ransomware russophone.

Il fonctionne sur un modèle de Ransomware-as-a-Service (RaaS). Des services de chiffrement de fichiers sont fournis, tandis que ce sont des affidés qui se chargent des cyberattaques. Ceux-ci perçoivent une part du paiement des rançons pour l'obtention d'un outil de déchiffrement. Avec menace de divulgation, une exfiltration de données est un moyen de pression.

Rappelons que plusieurs arrestations en lien avec LockBit ont déjà eu lieu. En France, LockBit a été à l'origine de 27 % des incidents par ransomware en 2022 et début 2023 : Centre Hospitalier Sud Francilien de Corbeil-Essonnes, Thalès, La Poste Mobile, Office d'Équipement Hydraulique de Corse, Nuxe, Voyageurs du monde, département du Loiret...