Les forces de l’ordre ont mené une « opération internationale » d’envergure à l’encontre des hackers de Lockbit. L’opération, diligentée par les autorités de onze pays, a abouti à la saisie de plusieurs sites du gang sur le dark web. Le groupe, qui a fait « près de 2 500 victimes, dont plus de 200 en France, parmi lesquelles des hôpitaux, des mairies et des sociétés de toutes tailles » selon le parquet de Paris, a notamment été privé de son « mur de la honte ». Il s’agit de la plateforme sur laquelle Lockbit publiait les « données de ceux qui refusaient de payer la rançon ».
Pour s’attaquer à l’infrastructure de Lockbit, les experts de la National Crime Agency (NCA), une agence britannique chargée de lutter contre le crime organisé, ont « pris le contrôle de l’environnement d’administration principal de LockBit, qui permettait aux affiliés de concevoir et de mener des attaques ». De son côté, Europol précise que 34 serveurs, localisés dans différents pays, ont été saisis. En parallèle, plus de 200 comptes blockchain détenant des cryptomonnaies sont tombés entre les mains de la police.
À lire aussi : Dopés à l’IA, les ransomwares sont de plus en plus dangereux et actifs
Une infrastructure partiellement en ligne
Malheureusement, il s’avère que les cybercriminels à la tête de Lockbit étaient préparés à l’éventualité d’une attaque des autorités. Durant l’offensive, le gang a publié un message sur la messagerie Tox indiquant que le FBI a pris le contrôle des « serveurs utilisant PHP », mais que « les serveurs de sauvegarde sans PHP ne sont pas touchés ».
Lockbit ransomware group has issued a message to individuals on Tox.
"ФБР уебали сервера через PHP, резервные сервера без PHP не тронуты"
"The FBI fucked up servers using PHP, backup servers without PHP are not touched"
— vx-underground (@vxunderground) February 19, 2024
Le parquet de Paris, qui a participé à l’opération, précise bien que seule une partie de l’infrastructure de Lockbit a été démantelée. Le communiqué du parquet évoque « une partie importante de l’infrastructure du rançongiciel LockBit, y compris sur le darknet », ce qui confirme que tout n’est pas tombé entre les mains des enquêteurs. En dépit des cris de victoire des forces de l’ordre, il semble que le gang ne soit que temporairement dans l’incapacité de mener ses activités.
Comme l’explique Chester Wisniewski, expert en cybersécurité chez Sophos, « une grande partie de leur infrastructure est toujours en ligne, ce qui signifie probablement qu’elle échappe à l’emprise de la police ». Pour lui, « il ne faut cependant pas se réjouir trop vite ». Ivan Kwiatkowski, chercheur en cybersécurité chez Harfanglab, abonde dans le même sens. Même s’il « ne faut pas minimiser cette opération coup de poing », il faut« malgré tout rester prudents car nous avons vu par le passé de nombreux cas où les groupes trouvent le moyen de revenir, de restructurer leur architecture, et finalement de continuer à œuvrer ».
Des criminels toujours libres
Chester Wisniewski rappelle aussi que tous les pirates de l’organisation de Lockbit n’ont pas été appréhendés par la justice. En effet, Europol n’a procédé qu’à deux arrestations pour le moment, en Pologne et en Ukraine, à la demande des enquêteurs français. Le parquet de Paris assure que « les investigations vont se poursuivre pour identifier et interpeller d’autres membres du groupe ». Cinq mises en examen et trois mandats d’arrêt internationaux ont par ailleurs été prononcés, ajoute Europol.
Les cybercriminels restants sont toujours dans la nature, et libres de relancer les activités du groupuscule. Ce ne serait d’ailleurs pas la première fois qu’un gang de ransomware renaît de ses cendres après une offensive de la police. On se souviendra du retour de Revil, qui n’est resté inactif que pendant deux mois après une offensive éclair des États-Unis.
« Si certains acteurs ont été arrêtés dans le cadre de cette opération, il semble peu probable que l’intégralité des responsables ou acteurs de Lockbit soient interpellés, ce qui signifie que de nombreux affiliés pourront continuer à exercer dans le monde du ransomware, pourquoi pas pour d’autres groupes, avec d’autres malwares, en attendant la reconstruction de l’infrastructure de Lockbit », met en garde Ivan Kwiatkowski.
Il est d’ailleurs fort probable qu’une partie des pirates de Lockbit échappent indéfiniment à la justice. Certains des hackers derrière l’organisation sont en effet basés en Russie, à l’abri des autorités. C’est le cas d’Artur Sungatov et Ivan Kondratyev, visés par des mandats d’arrêt internationaux. De l’aveu des forces de l’ordre britanniques, la justice russe fait preuve de complaisance envers les cybercriminels.
Par ailleurs, les chercheurs en sécurité informatique rappellent que le ransomware était massivement exploité par la communauté des hackers. Bien que l’infrastructure du groupe soit temporairement perturbée, « il y a fort à parier qu’un certain nombre d’acteurs disposent encore des codes sources des malwares du groupe ; et trouvent le moyen de reconstruire leur écosystème ». En clair, il est fort probable que le ransomware continue d’accumuler les victimes, en dépit de l’offensive menée par les forces de police. On sait d’ailleurs qu’une foule de clones basés sur le code de Lockbit pullulent déjà sur le dark web.
Un outil de déchiffrement
Néanmoins, l’opération a permis aux enquêteurs de s’emparer d’une montagne de données sensibles concernant les attaques de Lockbit. La NCA révèle en effet avoir obtenu le code source de la plateforme Lockbit, « un outil d’exfiltration de données sur mesure, connu sous le nom de Stealbit » et plus de 1 000 clés de décryptage. Les enquêteurs ont aussi remarqué que les données au sujet de victimes ayant payé une rançon étaient toujours détenues sur les serveurs de Lockbit.
Grâce à ces informations précieuses, la police japonaise a pu développer un outil de déchiffrement. Les victimes peuvent se servir de l’outil pour récupérer l’accès à leurs données sans devoir verser la rançon réclamée par les hackers. Celui-ci est disponible sur le site « No More Ransom », aux côtés d’autres outils destinés à différents ransomwares.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
