Une opération internationale d’application de la loi a conduit à la saisie de plusieurs domaines darknet exploités par LockBit, l’un des groupes de ransomware les plus prolifiques, marquant le dernier d’une longue liste de retraits numériques.
Même si l’ampleur de l’effort, dont le nom de code Opération Cronosest actuellement inconnu, la visite du site .onion du groupe affiche une bannière de saisie contenant le message « Le site est désormais sous le contrôle des forces de l’ordre ».
Les autorités de 11 pays (Australie, Canada, Finlande, France, Allemagne, Japon, Pays-Bas, Suède, Suisse, Royaume-Uni et États-Unis), aux côtés d’Europol, ont participé à l’exercice conjoint.
Groupe de recherche sur les logiciels malveillants VX-Underground, dans un message publié sur X (anciennement Twitter), a déclaré que les sites Web avaient été supprimés en exploitant une faille de sécurité critique affectant PHP (CVE-2023-3824score CVSS : 9,8) pouvant entraîner l’exécution de code à distance.
Les organismes chargés de l’application de la loi également gauche sur une note sur le panneau des affiliés, déclarant qu’ils sont en possession du « code source, des détails des victimes que vous avez attaquées, du montant d’argent extorqué, des données volées, des chats et bien plus encore », ajoutant que cela a été fait possible en raison de « l’infrastructure défectueuse » de LockBit.
LockBit, apparu le 3 septembre 2019, est l’un des gangs de ransomwares les plus actifs et les plus notoires de l’histoire, faisant à ce jour plus de 2 000 victimes. On estime qu’il a extorqué au moins 91 millions de dollars aux seules organisations américaines.
Selon les données partagées par la société de cybersécurité ReliaQuest, LockBit a répertorié 275 victimes sur son portail de fuite de données au quatrième trimestre 2023, éclipsant ainsi tous ses concurrents.
Il n’y a pas encore de nouvelles d’arrestation ou de sanctions, mais cette évolution constitue un coup dur pour les opérations à court terme de LockBit et survient deux mois après le démantèlement de l’opération de ransomware BlackCat par le gouvernement américain.
Le retrait coordonné coïncide également avec l’arrestation d’un Ressortissant ukrainien de 31 ans pour avoir obtenu un accès non autorisé à Google et aux comptes bancaires en ligne d’utilisateurs américains et canadiens en déployant des logiciels malveillants et en vendant l’accès à d’autres acteurs malveillants sur le dark web pour obtenir un gain financier.