La National Crime Agency (NCA) du Royaume-Uni a confirmé mardi avoir obtenu le code source de LockBit ainsi que des renseignements relatifs à ses activités et à ses filiales dans le cadre d’un groupe de travail dédié appelé Opération Cronos.
“Certaines données présentes dans les systèmes de LockBit appartenaient à des victimes qui avaient payé une rançon aux auteurs de la menace, ce qui montre que même lorsqu’une rançon est payée, elle ne garantit pas que les données seront supprimées, malgré ce que les criminels ont promis”, a déclaré l’agence. dit.
Elle a également annoncé l’arrestation de deux acteurs de LockBit en Pologne et en Ukraine. Plus de 200 comptes de cryptomonnaies liés au groupe ont été gelés. Des actes d’accusation ont également été dévoilés aux États-Unis contre deux autres ressortissants russes soupçonnés d’avoir mené des attaques LockBit.
Artur Sungatov et Ivan Gennadievich Kondratiev (alias Bassterlord) ont été accusés d’avoir déployé LockBit contre de nombreuses victimes à travers les États-Unis, y compris des entreprises du secteur manufacturier et d’autres industries à l’échelle nationale, ainsi que des victimes du monde entier dans le secteur des semi-conducteurs et d’autres industries, selon les États-Unis. Département de la Justice (DoJ).
Kondratyev a également été inculpé de trois chefs d’accusation pour son utilisation de la variante du ransomware Sodinokibi, également connue sous le nom de REvil, pour crypter des données, exfiltrer des informations sur les victimes et extorquer le paiement d’une rançon à une entreprise victime basée dans le comté d’Alameda, en Californie.
Cette évolution fait suite à une campagne internationale de perturbation visant LockBit, que la NCA a décrite comme « le groupe de cybercriminalité le plus dangereux au monde ».
Dans le cadre des efforts de démantèlement, l’agence a déclaré avoir pris le contrôle des services de LockBit et infiltré l’ensemble de son entreprise criminelle. Cela inclut l’environnement d’administration utilisé par les affiliés et le site de fuite public hébergé sur le dark web.
Par ailleurs, 34 serveurs appartenant aux filiales de LockBit ont également été démantelés et plus de 1 000 clés de décryptage ont été récupérées sur les serveurs LockBit confisqués.
LockBit, depuis ses débuts fin 2019, gère un système de ransomware-as-a-service (RaaS) dans lequel les chiffreurs sont concédés sous licence à des sociétés affiliées, qui mènent les attaques en échange d’une part du produit de la rançon.
Les attaques suivent une tactique appelée double extorsion visant à voler des données sensibles avant de les chiffrer, les acteurs menaçants faisant pression sur les victimes pour qu’elles effectuent un paiement afin de décrypter leurs fichiers et d’empêcher la publication de leurs données.
“Le groupe de ransomwares est également tristement célèbre pour avoir expérimenté de nouvelles méthodes pour faire pression sur ses victimes afin qu’elles paient des rançons”, Europol dit.
“La triple extorsion est l’une de ces méthodes qui inclut les méthodes traditionnelles de cryptage des données de la victime et de menace de fuite, mais intègre également des attaques par déni de service distribué (DDoS) comme couche de pression supplémentaire.”
Le vol de données est facilité au moyen d’un outil d’exfiltration de données personnalisé nommé StealBit. L’infrastructure, qui servait à organiser et à transférer les données des victimes, a depuis été saisie par les autorités de trois pays, dont les États-Unis.
Selon Eurojust et du DoJ, les attaques LockBit auraient fait plus de 2 500 victimes dans le monde entier et généré plus de 120 millions de dollars de profits illicites. Un outil de décryptage a également été mis à disposition via Plus de rançon pour récupérer gratuitement les fichiers cryptés par le ransomware.
“Grâce à notre étroite collaboration, nous avons piraté les pirates, pris le contrôle de leur infrastructure, saisi leur code source et obtenu des clés qui aideront les victimes à décrypter leurs systèmes”, a déclaré le directeur général de la NCA, Graeme Biggar.
“À l’heure actuelle, LockBit est exclu. Nous avons porté atteinte aux capacités et, plus particulièrement, à la crédibilité d’un groupe qui dépendait du secret et de l’anonymat. LockBit pourrait chercher à reconstruire son entreprise criminelle. Cependant, nous savons qui ils sont et comment. ils opèrent.”