LockBit est verrouillé
Qu’est-ce qui vient de se passer? Parmi les gangs de ransomwares, aucun n’est aussi connu ou notoire que LockBit. Mais le groupe de ransomwares le plus prolifique au monde vient de voir son site Web piraté et ses opérations perturbées par les forces de l’ordre de 12 pays dans le cadre d’une opération conjointe.
Le site Web de LockBit affiche actuellement une bannière indiquant qu’il est sous le contrôle de la National Crime Agency du Royaume-Uni, travaillant en étroite coopération avec le FBI et le groupe de travail international chargé de l’application de la loi nommé Operation Cronos.
Outre le logo d’Europol et les drapeaux des États-Unis et du Royaume-Uni, la bannière montre que les autres organismes chargés de l’application des lois impliqués viennent d’Australie, du Canada, d’Allemagne, de Suède, de Finlande, des Pays-Bas, du Japon, de France et de Suisse.
Un porte-parole de la NCA et un porte-parole du ministère américain de la Justice ont confirmé que les agences avaient démantelé le gang et ont déclaré que l’opération était « en cours et en développement ».
LockBit est à l’origine de plus de 1 700 attaques contre des organisations aux États-Unis dans pratiquement tous les secteurs, du gouvernement et de la finance aux transports, en passant par la santé et l’éducation. LockBit a même revendiqué la responsabilité d’une attaque contre un hôpital pour enfants de Chicago au début du mois, exigeant une rançon de 800 000 $ de l’organisation à but non lucratif.
Au niveau international, LockBit a semé le chaos en frappant le port de Lisbonne, le service Royal Mail du Royaume-Uni, les installations de Foxconn au Mexique et le service fiscal italien ces dernières années. Il y a eu également le cas d’un ransomware utilisé l’année dernière contre une entreprise britannique de clôtures (qui utilisait encore Windows 7), compromettant des données militaires sensibles.
LockBit a été l’un des premiers à proposer un ransomware-as-a-service (RaaS) à d’autres criminels, qui doivent envoyer au gang une partie des paiements de ransomware prélevés sur les victimes. Depuis leur réapparition fin 2019, les chercheurs de Recorded Future ont attribué près de 2 300 attaques au groupe, écrit The Record. Le deuxième groupe le plus prolifique, Conti, a été associé à 883 attaques.
Un avis de sécurité publié par une coalition internationale l’année dernière a révélé que des organisations avaient payé environ 91 millions de dollars aux criminels de LockBit depuis le 5 janvier 2020. Il a déclaré que LockBit était aujourd’hui l’une des menaces de ransomware les plus importantes et les plus dangereuses au monde.
BleepingComputer écrit que LockBitSupp, l’acteur menaçant qui gère l’opération LockBit, a mis à jour son compte sur le service de messagerie Tox pour afficher un message indiquant que le FBI a violé les serveurs de l’opération ransomware à l’aide d’un exploit PHP.
Le panneau d’affiliation de LockBit a également été supprimé. Il montre un message des forces de l’ordre indiquant que le code source, les discussions et les informations sur les victimes de LockBit ont également été saisis.
« Les forces de l’ordre ont pris le contrôle de la plateforme de Lockbit et ont obtenu toutes les informations qui y sont contenues. Ces informations concernent le groupe Lockbit et vous, leur filiale. Nous avons le code source, les détails des victimes que vous avez attaquées, le montant d’argent extorqué, les données volées, les discussions et bien plus encore », indique le message.
« Vous pouvez remercier Lockbitsupp et son infrastructure défectueuse pour cette situation (…) nous pourrions vous contacter très bientôt. Bonne journée. Cordialement, L’Agence nationale contre la criminalité du Royaume-Uni, le FBI, Europol et l’Opération Groupe de travail d’application de la loi Cronos.
