Qualifié de groupe de ransomware le plus prolifique et le plus nuisible au monde par Europol, LockBit a été la cible d'une opération Cronos menée par les forces de l'ordre, avec la contribution d'une dizaine de pays.
Une trentaine de serveurs ont été mis hors ligne et plus de 200 comptes de cryptomonnaies en lien avec l'organisation cybercriminelle ont été saisis. La National Crime Agency (Royaume-Uni) a pris le contrôle de l'infrastructure technique qui permet aux éléments du RaaS (Ransomware-as-a-Service) de fonctionner.
Sur le Dark Web, le site qui posait un ultimatum et pour un accès à des données volées de victimes de LockBit a pris une tournure très particulière. Les autorités ont repris les codes de communication utilisés par les cybercriminels eux-mêmes pour ce qui s'apparente à un véritable troll.
La peur et la honte changent de camp
Le site propose désormais des outils de déchiffrement gratuits de l'initiative No More Ransom, des informations sur les arrestations, les inculpations, des captures en rapport avec l'administration de LockBit, des discussions entre des affidés et des victimes.
Ars Technica souligne plusieurs images indiquant que les autorités ont le contrôle du fichier Linux /etc/shadow (mots de passe hachés). Cela laisse supposer un accès root. Par ailleurs, des comptes à rebours à la marnière de LockBit ont été lancés pour d'autres divulgations à venir.
Avant la fin de cette semaine, il est prévu de divulguer l'identité de LockBitSupp. " Qui est LockBitSupp ? La question à 10 millions de dollars. " Ce surnom est celui du personnage principal derrière l'essor de LockBit et la professionnalisation du groupe de ransomware.
Une victoire au long cours ?
Permise grâce à " l'infrastructure vulnérable " de LockBitSupp, la NCA a confirmé que l'infiltration technique n'est que le début d'une série d'actions contre LockBit et ses affidés. La provocation vis-à-vis des cybercriminels impliqués s'arrêtera toutefois dimanche avec la fermeture du blog de LockBit.
?♂️ Démantèlement ce matin des infrastructures du groupe de hackers russophones LockBit 3, "le plus dangereux au monde" (Europol), lors de l’opération Cronos. Félicitations aux cybergendarmes de l'@CyberGEND, du FBI, d'Allemagne, ou encore du Royaume-Uni pour ce "coup de maître" ! pic.twitter.com/wNB4tgk6hp
— Unité nationale cyber • UNCyber (@CyberGEND) February 20, 2024
Attention cependant à la capacité d'adaptation des groupes de ransomware. Même si l'opération visant LockBit est assurément un très gros coup des autorités, ces groupes ont déjà montré par le passé qu'ils savent rebondir assez rapidement.
