Une action de police et de justice réunissant les forces de l’ordre de 10 pays a fortement perturbé les opérations du groupe de ransomware LockBit en prenant le contrôle de sa plateforme et en démantelant 34 serveurs. Les autorités ont également eu accès à certaines données personnelles d'affiliés du groupe.
Une fois n’est pas coutume, LockBit, le ransomware le plus prolifique au monde, a été compromis. Une taskforce internationale coordonnée par Europol et Eurojust, baptisée sobrement Opération Cronos, a compromis la plateforme principale de LockBit et d’autres infrastructures critiques du groupe.
Le site de LockBit sous contrôle des autorités
Ce ne sont pas moins de 34 serveurs qui ont été démantelés aux Pays-Bas, en Allemagne, en Finlande, en France, en Suisse, en Australie, aux États-Unis et au Royaume-Uni. Deux acteurs suspectés d’être affiliés à l'organisation criminelle ont été arrêtés en Pologne. 14 000 comptes ont été supprimés, et 200 comptes de cryptomonnaies ont été gelés.
« La National Crime Agency du Royaume-Uni a désormais pris le contrôle de l'infrastructure technique qui permet à tous les éléments du service LockBit de fonctionner », peut-on lire dans le communiqué d’Europol. L’agence britannique a également mis la main sur le site de fuite sur le dark web, sur lequel LockBit hébergeait les données volées à ses victimes. Les données dans les mains des autorités serviront à soutenir d’autres actions internationales en cours et ciblant les têtes pensantes de LockBit, ses développeurs, filiales, infrastructures et actifs.
Des données des affiliés aux mains des autorités
Pour parvenir à leurs fins, les forces de l'ordre ont exploité une faille critique CVE-2023-3824. Dans un communiqué envoyé à ses affiliés, LockBit a indiqué que cette faille a pu : « donner accès à des informations personnelles incluant les noms, les adresses email, les mots de passe encryptés. À ce stade, il n’y a pas de preuve que des informations financières ou des numéros de sécurité sociale ont été consultés ». Le groupe a indiqué avoir implémenté des mesures de sécurité additionnelles pour prévenir de futurs incident.
Quelles conséquences pour les affiliés ? Le site web spécialisé en cybersécurité vx-underground a partagé une capture d’écran sur X, montrant le panneau de contrôle utilisé par les filiales de Lockbit pour lancer des attaques qui a été remplacé par un message des forces de l'ordre. « Nous avons le code source, les détails des victimes que vous avez attaquées, le montant de l'argent extorqué, des données volées, des chats et bien plus encore » est-il écrit. « Nous pourrions vous contacter très prochainement (...) Passez une bonne journée », ajoute-t-il. Reuters a contacté un représentant de LockBit qui n'a pas répondu à l’agence de presse. Ce même acteur a néanmoins publié des messages sur une application de messagerie cryptée dans lesquels il indique être en possession de serveurs de sauvegarde.
Repéré pour la première fois en 2019, LockBit est à ce jour la variante de ransomware la plus déployée dans le monde grâce au mode de fonctionnement du groupe qui est en fait un « ransomware-as-a-service », et concède sous licence ses logiciels à des affiliés qui mènent ensuite les attaques.