LockBitSupp, la ou les personnes derrière le personnage représentant le service de ransomware LockBit sur les forums de cybercriminalité tels que Exploit et XSS, « s’est engagé auprès des forces de l’ordre », ont indiqué les autorités.
Ce développement fait suite au démantèlement de la prolifique opération ransomware-as-a-service (RaaS) dans le cadre d’une opération internationale coordonnée nommée Cronos. Plus de 14 000 comptes malveillants sur des services tiers comme Mega, Protonmail et Tutanota, utilisés par les criminels, ont été fermés.
« Nous savons qui il est. Nous savons où il habite. Nous savons combien il vaut. LockbitSupp s’est engagé auprès des forces de l’ordre », selon un message publié sur le site de fuite de données du Dark Web, désormais saisi (et hors ligne).
Le déménagement a été interprété par les observateurs de longue date de LockBit dans le but de susciter la suspicion et de semer la méfiance parmi les affiliés, sapant finalement la confiance dans le groupe au sein de l’écosystème de la cybercriminalité.
Selon une étude publiée par Analyst1 en août 2023, il existe preuve suggérer qu’au moins trois personnes différentes ont exploité les comptes « LockBit » et « LockBitSupp », l’une d’entre elles étant le chef du gang lui-même.
Cependant, en parlant au groupe de recherche sur les logiciels malveillants VX-Underground, LockBit déclaré « ils ne croyaient pas que les forces de l’ordre connaissaient son identité. » Ils ont également augmenté la prime offerte à toute personne pouvant leur envoyer un message sous leur vrai nom à 20 millions de dollars. Il convient de noter que la récompense était augmenté de 1 million de dollars à 10 millions de dollars à la fin du mois dernier.
LockBit – également appelé Gold Mystic et Selkie d’eau – a connu plusieurs itérations depuis sa création en septembre 2019, à savoir LockBit Red, LockBit Black et LockBit Green, le syndicat de la cybercriminalité développant également secrètement une nouvelle version appelée LockBit-NG-Dev avant que son infrastructure ne soit démantelée.
« LockBit-NG-Dev est désormais écrit en .NET et compilé à l’aide de CoreRT », Trend Micro dit. « Lorsqu’il est déployé parallèlement à l’environnement .NET, cela permet au code d’être plus indépendant de la plate-forme. Cela supprime les capacités d’auto-propagation et la possibilité d’imprimer des demandes de rançon via les imprimantes de l’utilisateur. »
L’un des ajouts notables est l’inclusion d’une période de validité, qui ne continue à fonctionner que si la date actuelle se situe dans une plage de dates spécifique, ce qui suggère des tentatives de la part des développeurs d’empêcher la réutilisation du malware ainsi que de résister à l’analyse automatisée. .
Les travaux sur la variante de nouvelle génération auraient été stimulés par un certain nombre de problèmes logistiques, techniques et de réputation, principalement dus à la fuite du constructeur de ransomware par un développeur mécontent en septembre 2022 et également aux doutes que l’un de ses administrateurs pourrait avoir. été remplacés par des agents du gouvernement.
Le fait que les comptes gérés par LockBit aient été bannis d’Exploit et de XSS vers la fin janvier 2024 n’a pas non plus aidé pour ne pas avoir payé un courtier d’accès initial qui leur avait fourni l’accès.
« L’acteur est apparu comme quelqu’un qui était ‘trop important pour faire faillite’ et a même fait preuve de dédain envers l’arbitre qui prendrait la décision sur l’issue de la réclamation », a déclaré Trend Micro. « Ce discours a démontré que LockBitSupp utilise probablement sa réputation pour avoir plus de poids lors de la négociation du paiement de l’accès ou de la part des rançons avec les affiliés. »
PRODAFT, dans son propre analyse de l’opération LockBit, a déclaré avoir identifié plus de 28 filiales, dont certaines partagent des liens avec d’autres groupes russes de cybercriminalité comme Evil Corp, FIN7 et Wizard Spider (alias TrickBot).
Ces liens sont également mis en évidence par le fait que le gang a fonctionné comme une « poupée gigogne » avec trois couches distinctes, donnant une perception extérieure d’un système RaaS établi compromettant des dizaines d’affiliés tout en empruntant furtivement des testeurs d’intrusion hautement qualifiés à d’autres groupes de ransomwares en forgeant des informations personnelles. alliances.
L’écran de fumée s’est matérialisé sous la forme de ce qu’on appelle un modèle de groupe fantôme, selon les chercheurs de RedSense Yelisey Bohuslavskiy et Marley Smith, LockBitSupp servant « de simple distraction pour les opérations réelles ».
« Un groupe fantôme est un groupe qui possède des capacités très élevées mais qui les transfère à une autre marque en permettant à l’autre groupe de leur sous-traiter les opérations », expliquent-ils. dit. « La version la plus claire est celle de Zeon, qui a externalisé ses compétences vers LockBit et Akira« .
On estime que le groupe a réalisé plus de 120 millions de dollars de bénéfices illicites au cours de ses activités pluriannuelles, devenant ainsi l’acteur de ransomware le plus actif de l’histoire.
« Étant donné que les attaques confirmées par LockBit au cours de leurs quatre années d’activité totalisent bien plus de 2 000, cela suggère que leur impact à l’échelle mondiale est de l’ordre de plusieurs milliards de dollars », a déclaré la National Crime Agency (NCA) britannique.
Il va sans dire que l’opération Cronos a probablement causé des dommages irréparables à la capacité du groupe criminel à poursuivre ses activités de ransomware, du moins sous sa marque actuelle.
« La reconstruction de l’infrastructure est très improbable ; la direction de LockBit est techniquement très incapable », a déclaré RedSense. « Les personnes à qui ils ont délégué le développement de leur infrastructure ont depuis longtemps quitté LockBit, comme en témoigne le primitivisme de leur infrastructure. »
« [Initial access brokers]qui étaient la principale source de l’entreprise LockBit, ne feront pas confiance à leur accès à un groupe après un retrait, car ils souhaitent que leur accès soit transformé en espèces.