Passer au contenu

Les hackers de Lockbit font face à une armée d’imitateurs

Les cybercriminels de Lockbit traversent une mauvaise passe. Alors que la réputation du gang a été ternie par les efforts des forces de police, une armée d’imitateurs se sert du code du ransomware pour mener des attaques.

Le gang Lockbit a du mal à se remettre de l’opération Cronos. Lors de cette offensive des forces de l’ordre, le groupe de cybercriminels a perdu le contrôle d’une partie de son infrastructure, y compris de certains serveurs et de sites sur le dark web. Surtout, cette opération, menée par le FBI et les polices de onze pays différents, a porté un coup dur à la réputation de Lockbit. De nombreux utilisateurs du ransomware redoutent désormais de faire confiance aux services du gang. Les criminels les moins aguerris ont peur de se retrouver dans le collimateur des autorités s’ils orchestrent des cyberattaques avec le ransomware.

À lire aussi : un pirate de Lockbit écope de quatre ans de prison et doit rembourser 860 000 dollars

Des imitateurs ternissent la réputation de Lockbit

Dans ce contexte paranoïaque, Lockbit souffre également de la pression exercée par une armée d’imitateurs. D’après une enquête menée par Trellix, une foule de cybercriminels n’hésitent pas à se faire « passer pour LockBit ou à intégrer le ransomware LockBit dans leurs propres campagnes de cyberattaque ». Comme l’indique Trellix, le code source de Lockbit 3.0 a été divulgué sur la toile en 2022. Mécontent, l’un des pirates du gang s’était en effet vengé en mettant en ligne le code source. De facto, il n’est pas étonnant que le code de Lockbit soit exploité par des pirates. Ce n’est d’ailleurs pas la première fois que nous évoquons l’émergence d’une armée de clones de Lockbit. L’été dernier, 400 copies du ransomware avaient déjà été identifiées par Kaspersky.

Trellix indique avoir récemment constaté « une augmentation du nombre de nouveaux gangs de ransomware qui tentent d’exploiter » le code de Lockbit pour mener des attaques. Parfois, les pirates utilisent le code pour programmer leurs propres virus. Dans d’autres cas, ils usent du ransomware tel quel, en modifiant uniquement « la note de rançon » et en spécifiant de leurs propres coordonnées.

Certains des imitateurs n’hésitent pas à se servir des copies de Lockbit pour discréditer le gang russe. Pour ternir la réputation, déjà bien entachée, du groupe, ils orchestrent des attaques à l’encontre de sociétés basées en Russie.  Les pirates de Lockbit ont en effet pour principe de ne pas extorquer de l’argent à des entreprises russes. Les imposteurs se servent de « méthodes trompeuses » pour « induire les victimes en erreur » et leur faire croire qu’elles ont été visées par le véritable Lockbit, souligne Trellix.

« LockBit essaie de sauver son activité lucrative en rétablissant son infrastructure, mais dans la clandestinité cybercriminelle, un serveur est plus facile à restaurer que des années de confiance », résume le rapport de Trellix.

Par ailleurs, le chercheur en sécurité Dominic Alvieri a découvert un nouveau site sur le dark web consacré à Lockbit, sous le nom de DarkVault. Ce site web, toujours au stade de la conception, utilise le design du site officiel du gang. C’est vraisemblablement sur ce site que les cybercriminels mettront en ligne les données de leurs prochaines victimes. Tout porte à croire que ces hackers ne veulent pas être affiliés à l’héritage du gang russe. Comme l’explique Dominic Alvieri sur X, il s’agit apparemment d’une bande de copieurs qui se servent des sites de Lockbit pour mettre au point leurs propres plateformes de fuite de données.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Source : Trellix


Florian Bayard