Le Département d’État américain a annoncé des récompenses monétaires pouvant atteindre 15 millions de dollars pour des informations susceptibles de conduire à l’identification des principaux dirigeants du groupe de ransomware LockBit et à l’arrestation de toute personne participant à l’opération.
« Depuis janvier 2020, les acteurs de LockBit ont exécuté plus de 2 000 attaques contre des victimes aux États-Unis et dans le monde, provoquant des perturbations coûteuses des opérations et la destruction ou l’exfiltration d’informations sensibles », a déclaré le Département d’État. dit.
« Plus de 144 millions de dollars de rançons ont été versés pour récupérer des événements liés au rançongiciel LockBit. »
Cette évolution intervient alors qu’une vaste opération d’application de la loi menée par la National Crime Agency (NCA) du Royaume-Uni a perturbé LockBit, un gang de ransomwares lié à la Russie, actif depuis plus de quatre ans, faisant des ravages dans les entreprises et les infrastructures critiques du monde entier.
Les opérations de ransomware-as-a-service (RaaS) comme LockBit et d’autres fonctionnent en extorquant les entreprises en volant leurs données sensibles et en les chiffrant, ce qui en fait un modèle commercial lucratif pour les groupes russes de cybercriminalité qui agissent en toute impunité en profitant du fait. qu’ils échappent à la juridiction des forces de l’ordre occidentales.
Les développeurs principaux ont tendance à exploiter un réseau d’affiliés recrutés pour mener des attaques à l’aide des logiciels et de l’infrastructure malveillants de LockBit. Les affiliés, à leur tour, sont connus pour acheter l’accès à des cibles d’intérêt en utilisant des courtiers d’accès initial (IAB).
« LockBit est devenu le groupe de ransomwares le plus prolifique depuis le départ de Conti à la mi-2022 », a déclaré Chester Wisniewski, CTO mondial chez Sophos. dit.
« La fréquence de leurs attaques, combinée au fait qu’ils n’ont aucune limite quant au type d’infrastructure qu’ils paralysent, en ont également fait les plus destructeurs de ces dernières années. Tout ce qui perturbe leurs opérations et sème la méfiance parmi leurs filiales et leurs fournisseurs est une énorme victoire pour les forces de l’ordre. « .
LockBit est également connu pour être le premier groupe de ransomwares à annoncer un programme de primes aux bogues en 2022, offrant des récompenses allant jusqu’à 1 million de dollars pour la détection de problèmes de sécurité dans les logiciels de sites Web et de casiers.
« Les opérations de LockBit ont pris de l’ampleur grâce à la fourniture constante de nouvelles fonctionnalités de produits, à un bon support client et, parfois, à des actions marketing consistant notamment à payer des gens pour qu’ils se tatouent avec le logo du groupe », Intel 471 dit.
« LockBit a inversé le scénario, laissant ses affiliés collecter la rançon et leur faisant confiance pour en payer une partie. Cela a donné aux affiliés l’assurance qu’ils n’allaient pas perdre un paiement, attirant ainsi davantage d’affiliés. »
SecureWorks Counter Threat Unit (CTU), qui suit le groupe sous le nom de Gold Mystic, dit il a enquêté sur 22 compromissions impliquant le ransomware LockBit entre juillet 2020 et janvier 2024, dont certaines reposaient uniquement sur le vol de données pour extorquer les victimes.
La société de cybersécurité a en outre souligné que la pratique de LockBit consistant à céder le contrôle à ses filiales pour gérer la négociation et le paiement des rançons avait permis au syndicat de se développer et d’attirer plusieurs filiales au fil des ans.
Le retrait de LockBit fait suite à une enquête de plusieurs mois débutée en avril 2022, qui a conduit à l’arrestation de trois filiales en Pologne et en Ukraine, à l’inculpation aux États-Unis de deux autres membres présumés, ainsi qu’à la saisie de 34 serveurs et de 1 000 clés de déchiffrement qui peut aider les victimes à récupérer leurs données sans effectuer aucun paiement.
Ces arrestations comprennent un homme de 38 ans à Varsovie et un duo « père et fils » d’Ukraine. On estime que LockBit a employait environ 194 filiales entre le 31 janvier 2022 et le 5 février 2024, les acteurs utilisant un outil d’exfiltration de données sur mesure connu sous le nom de StealBit.
« StealBit est un exemple de la tentative de LockBit d’offrir un service complet de ‘guichet unique’ à ses affiliés », a déclaré la NCA, ajoutant que l’exécutable est utilisé pour exporter les données via la propre infrastructure de l’affilié avant que StealBit ne tente probablement d’échapper aux détection.
Cela dit, la structure fluide de ces marques RaaS signifie que leur fermeture pourrait ne pas avoir d’impact décisif sur l’entreprise criminelle, leur permettant de se regrouper et de refaire surface sous un nom différent. Si l’histoire récente de retraits similaires est une indication, il ne faudra pas longtemps avant qu’ils changent de nom et reprennent là où ils s’étaient arrêtés.
« Une dégradation complète de l’infrastructure de LockBit entraînera probablement une brève cessation des activités des agents de LockBit avant qu’ils ne reprennent leurs opérations – soit sous le nom de LockBit, soit sous une bannière alternative », ZeroFox dit.
« Même si nous n’obtenons pas toujours une victoire complète, comme cela s’est produit avec QakBot, imposer des perturbations, alimenter leur peur de se faire prendre et augmenter les frictions liées au fonctionnement de leur syndicat criminel reste une victoire », a ajouté Wisniewski. « Nous devons continuer à nous unir pour augmenter encore plus leurs coûts jusqu’à ce que nous puissions tous les mettre à leur place : en prison. »