LockBit : ce que l’on sait du démantèlement de l’infrastructure du ransomware

Plusieurs agences nationales de sécurité, dont la National Crime Agency (NCA) du Royaume-Uni et le FBI, ont perturbé les opérations du groupe  LockBit, l’un des gangs de pirates informatiques les plus actifs du monde, dans le cadre d’une opération nommée Cronos.

Le site principal précédemment utilisé par LockBit pour publier des données volées – une tactique utilisée pour extorquer des fonds à des cibles – affiche désormais une image indiquant que le site est sous le contrôle des forces de l’ordre.

«Ce site est désormais sous le contrôle de la National Crime Agency du Royaume-Uni, qui travaille en étroite coopération avec le FBI et le groupe de travail international chargé de l’application des lois, Operation Cronos », peut-on lire sur l’image.

« La NCA peut confirmer que les services LockBit ont été perturbés à la suite d’une action internationale des forces de l’ordre. Il s’agit d’une opération en cours et en développement », a déclaré la NCA dans un communiqué fourni à Silicon UK.

L’opération, qui a eu lieu ces derniers jours, comprenait la participation d’agences de 11 pays et a saisi 11 000 domaines utilisés par LockBit et ses filiales pour faciliter les ransomwares, a déclaré un représentant du FBI à Bloomberg.

Un exploit PHP opéré par le FBI

Certains autres serveurs de LockBit, tels que ceux utilisés pour héberger des données ou envoyer des messages privés au gang, fonctionnent toujours, a rapporté BleepingComputer.

Les domaines utilisés par LockBit pour négocier des rançons faisaient partie de ceux qui ont été désactivés, indique le site.

Le FBI pourrait avoir utilisé un exploit PHP pour perturber les serveurs, selon un message  sur le compte du service de messagerie Tox LockBitSupp, qui est utilisé par les acteurs malveillants exploitant LockBit.

Le panneau de commande fourni aux filiales de LockBit – les pirates qui utilisent les outils et l’infrastructure de LockBit pour mener des attaques de ransomware – aurait également été supprimé.

Il affiche désormais un message des forces de l’ordre indiquant que le code source de LockBit et les détails sur les activités des affiliés, y compris les personnes attaquées, le montant des fonds extorqués, les données volées, les discussions « et bien plus encore » ont été saisis.

L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a déclaré en juin dernier que LockBit avait extorqué au moins 91 millions $ aux seules organisations américaines dans le cadre de 1 700 attaques depuis 2020.

Ce mardi 20 février, l’agence britannique a posté une vidéo ( ci-dessous) sur son compte X pour expliquer son intervention.

Matthew Broersma, Silicon UK

Mise à jour à 12h30 avec l’insertion de la vidéo de la NCA