Les rebondissements de l’affaire Lockbit
Qu’est-ce qui se passe quand un des plus gros groupes de rançongiciel se trouve à avoir également un "flair" pour le drama? Beaucoup de péripéties – et c’est le sujet de notre infolettre aujourd’hui
Le contexte
Le 20 février dernier, les communiqués officiels sont envoyés aux agences de presse : à la suite d’une opération regroupant 11 pays, le site Web de Lockbit est désormais sous le contrôle du National Crime Agency (UK) en collaboration avec le FBI et d’une belle brochette de forces de l’ordre à travers le monde (dont la GRC, au Canada). L’opération Chronos célèbre alors sa victoire contre l’un des plus grands groupes de rançongiciel jusque-là actif dans le monde – en annonçant en grande pompe la mise en ligne imminente d’un portail énonçant les différents jalons l’opération Chronos passées et à venir (parmi ces jalons, de sévères sanctions et un puissant outil de décryptage pour assister les victimes du groupe à retrouver leurs données).
Le ton est donné!
Qui est Lockbit…
Dans les mots du National Crime Agency il s’agit du « world’s most harmful cyber crime group » - rien de moins! Lockbit serait responsable, selon certaines sources, de 47% des attaques par rançongiciel annoncées publiquement au cours de la dernière année – pour un total probable de profits dans les milliards de dollars 💸. Plus près de nous, au Canada, c’est 22% des incidents de rançongiciels qui serait attribuable au cyber-gang – leur attaque suivie d’une excuse (!) - d’un hôpital pour enfant avait fait couler bien de l’encre dans nos médias locaux.
Selon le site du gouvernement Canadien, « pensez cybersécurité » : Les rançongiciels sont un type de maliciel qui attaque votre ordinateur ou vos appareils. (…) Il permet aux cybercriminels d’infiltrer vos systèmes et de vous empêcher d’accéder à vos fichiers ou à vos appareils afin d’obtenir une rançon. Vous saurez si vous êtes victime, car les cybercriminels vous enverront une demande de rançon pour vous faire savoir que vos données ou vos appareils seront compromis et bloqués jusqu’à ce que la rançon soit payée.
Le groupe a beaucoup fait parler d’eux dans les dernières années, oui, de par la notoriété de certaines de leurs victimes (Boeing, par exemple), mais également de par leurs offensives marketing (plutôt créatives, on leur donne ça!) – offre de concours pour des « papiers blancs » accompagné d’un grand prix de 5000$, programme de « bug bounty », stunt de tatouage du logo du groupe (sans blagues!), etc. Le groupe applique à la lettre la devise « parlez-en bien, parlez-en mal, mais parlez-en », sans aucune gêne.
Succès! Ou pas.
Les équipes derrière l’opération Chronos auront à peine eu le temps de siroter leur champagne célébratoire (et nous, de publier notre balado sur le sujet) – que déjà, Lockbit répliquait et reprenait contrôle de certains de leurs serveurs… prétendant, du coup, avoir hacké à leur tour le FBI (jusqu’ici, tout semble indiqué qu’il ne s’agissait que d’un bluff de Lockbit)!
Depuis, le groupe a déclaré avoir été la cible du FBI à cause d’une potentielle brèche de données concernant Trump – brèche qui aurait une incidence sur les élections à venir selon le message plutôt chaotique offert par le groupe (théorie de la conspiration 🤝 groupe de rançongiciel à l’égo blessé).
Le groupe a également recommencé à lister, sur leur nouveau portail, l’identité des victimes de leurs attaques (selon les observations, il s’agirait d’attaques déjà connues datant d’avant l’annonce de l’opération Chronos).
Est-ce la fin du groupe Lockbit?
Selon plusieurs experts… probablement pas! Malgré quelques arrestations (et les récompenses alléchantes offertes), plusieurs des figures importantes du groupe échappent encore aux forces de l’ordre. Le modèle d’affaires de Lockbit a toujours été plutôt décentralisé, s'appuyant sur le travail d'affiliés qui infiltrent les victimes et remettent une part des profits en échange d'accès à la plateforme – il ne serait pas surprenant que le groupe finisse par reprendre leurs opérations suivant une courte période de restructuration. Tout de même, il faut considérer l’impact de l’opération Chronos sur la réputation de Lockbit. Est-ce que les affiliés vont vouloir faire affaire avec une entreprise qui a coulé toutes leurs données? Vont-ils revenir ou se tourner vers les multiples compétiteurs de Lockbit?
Une histoire encore en développement, donc, qui intrigue et provoque par l’audace des répliques du groupe de rançongiciel qui promet déjà de revenir triomphant – « This shows that no hack from the FBI can stop a business from thriving, because what doesn't kill me makes me stronger » - reste à voir la valeur de ces paroles, de façon générale, les cybercriminels ne tendent pas à être les narrateurs les plus fiables…
Catherine & Sam
Cybercitoyen.org