LockBit, vraiment démantelé ? Ce qui s’est passé ce week-end n’en donne pas l’impression.
Des sites au nom et aux couleurs du groupe sont réapparus sur le darkweb. L’un d’entre eux liste une douzaine de victimes revendiquées… dont un groupe français : IDEA (prestataire logistique). Il comprend une entrée « fbi.gov ». Le lien qui s’y trouve ne mène pas vers des données volées, mais vers un message, en anglais et en russe. Y est retracée, à la première personne, une chronologie des événements de la semaine passée.
« Le 19 février, des tests de pénétration ont eu lieu sur deux de mes serveurs. À 6 h 39 UTC, j’ai découvert une erreur 502 sur le site. » Ainsi débute ce récit. Il y est question d’une faille PHP (CVE-2023-3824). C’est elle qui aurait permis l’accès à l’infrastructure de LockBit. Ou plus précisément à une partie : « Si je n’avais pas eu des serveurs de sauvegarde sans PHP, je ne me serais probablement pas rendu compte du hack », peut-on lire.
Ces serveurs, nous affirme-t-on, sont intègres. Ils continuent donc à héberger les données volées. On peut effectivement encore accéder au téléchargement de ces dernières. Y sont associés, entre autres, le département de l’Ardèche (360 Mo de données), la commune de Saint-Cloud (13 Mo) et le portail justice.fr (6 Go). Ils voisinent avec plusieurs cabinets d’avocats (Bredin Prat, COTEG & AZAM, PLR Avocats). On trouve aussi, pêle-mêle, une ESN (IDLINE), un paysagiste (Groupe J.Richard), un distributeur alimentaire (Avidoc), un fabricant de portes automatiques (ESTPM), etc.
Le message impute le timing de l’opération de démantèlement au risque de fuite d’informations dérobées en janvier au comté de Fulton (Géorgie) – et potentiellement compromettantes pour l’administration Biden.
L’auteur en tire une leçon : attaquer davantage le secteur gouvernemental. Son postulat : cela forcera les autorités à agir contre les cybercriminels. Et donc à leur dévoiler leurs faiblesses, qu’ils pourront donc résorber.
La suite du message minimise l’ampleur des informations qu’ont récoltées les forces de l’ordre stubs et non code source, grande proportion de déchiffreurs protégés donc non exploitables…). Et vante la robustesse de la nouvelle infrastructure de LockBit, entre décentralisation des accès partenaires et passage à une publication intégralement manuelle des déchiffreurs.
Broadcom a repris seul la main sur la vente de l'offre VMware d'AWS... qui, dans…
Microsoft expérimente, sous la marque ZTDNS, une implémentation des principes zero trust pour le trafic…
Accord de principe entre créanciers, propositions de reprise, discussions avec l'État... Le point sur le…
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…