Passer au contenu

Ransomware : le retour des pirates de Lockbit est compromis

Les pirates de Lockbit sont dans une mauvaise passe. Plusieurs semaines après l’opération Cronos, les cybercriminels peinent à relancer leurs activités. D’après Trend Micro, l’offensive de la police a durablement terni la réputation du gang et sa précieuse image de marque. Mais, alors qu’un vent de paranoïa souffle dans le monde de l’extorsion, une nouvelle version du virus Lockbit a été repérée.

Fin février, une opération de police d’envergure a frappé Lockbit, l’un des plus prolifiques gangs spécialisés dans les attaques par ransomware. Les forces de l’ordre sont parvenues à prendre le contrôle d’une partie de l’infrastructure du groupe de cybercriminels. Dans la foulée, deux hackers ont été interpellés dans une petite ville ukrainienne.

Rapidement, Lockbit est revenu sur le devant de la scène en narguant les autorités. Le gang a orchestré une poignée de cyberattaques contre des entreprises et des entités gouvernementales américaines. Dans un message sur le dark web, Lockbit assurait que l’opération policière n’avait pas entamé ses activités.

Une réputation ternie

D’après un rapport de Trend Micro, la réalité est très éloignée des fanfaronnades de Lockbit. Le gang éprouve apparemment de sérieuses difficultés à faire son grand retour à la suite de la saisie de ses serveurs. Selon les chercheurs de Trend Micro, l’offensive diligentée par le FBI a toujours un « impact significatif sur les activités du groupe ». Malgré les affirmations de LockBitSupp, le chef du groupe, il n’y a pas de preuves indiquant que les activités du gang sont bel et bien revenues à la normale.

L’opération Cronos de fin février a vraisemblablement permis « de ternir la réputation de Lockbit parmi les affiliés et la communauté cybercriminelle en général ». En clair, l’offensive a échaudé les pirates qui paient un abonnement pour se servir du ransomware Lockbit. Le gang génère en effet des bénéfices en proposant son malware contre des rétributions financières. C’est le fameux modèle du ransomware-as-a-service (RAAS).

« La réputation et la confiance sont essentielles pour attirer les affiliés, et lorsque ceux-ci sont perdus, il est plus difficile d’amener les gens à revenir. L’opération Cronos a réussi à frapper un des éléments qui étaient les plus importants de l’activité de Lockbit : sa marque », explique Trend Micro.

Comme l’explique Bob McArdle, spécialiste des menaces informatiques chez Trend Micro, à TechTarget, « la chose qui a différencié Lockbit de tout autre fournisseur de ransomware était leur marque ». C’est pourquoi une réputation ternie met en danger la survie du groupe :

« Lorsque vous attaquez la marque, il ne leur reste plus rien d’autre. Ce n’est pas le produit le plus puissant, ce n’est rien d’autre. LockBit n’a pas le choix — leur argument de vente unique est le nom LockBit ». 

Les pirates ont peur

Pour l’heure, le monde criminel oscille entre « la satisfaction et la spéculation » au sujet du coup dur essuyé par Lockbit. Selon l’enquête de Trend Micro, l’opération Cronos a également effrayé de nombreux autres groupuscules spécialisés dans l’extorsion.

Les pirates redoutent de se retrouver dans le collimateur des autorités dans le sillage de Lockbit. Les groupes spécialisés dans le ransomware-as-a-service (RAAS) « examinent probablement leurs propres faiblesses » et cherchent à passer inaperçus en choisissant les cibles les moins médiatisées. Les cybercriminels veulent à tout prix éviter d’attirer l’attention des autorités. Pour Bob McArdle, l’opération de Cronos a soufflé un vent de « paranoïa » dans les milieux criminels.

À lire aussi : Un pirate de Lockbit écope de quatre ans de prison et doit rembourser 860 000 dollars

Une nouvelle version du ransomware

En parallèle, deux forums clandestins populaires, XSS et Exploit, ont préféré bannir le leader LockBitSupp, révèle le média spécialisé Dark Reading. De facto, le cybercriminel rencontre des difficultés pour motiver ses troupes et recruter de nouveaux partenaires. Néanmoins, il est encore trop tôt pour enterrer les hackers de Lockbit. Il s’avère que LockBitSupp continue de tout mettre en œuvre pour assurer la survie du gang, constate Trend Micro.

Une nouvelle version du ransomware a d’ailleurs été mise au point. Baptisée Lockbit-NG-Dev, cette itération permet notamment aux cybercriminels d’imprimer des instructions pour la rançon en prenant le contrôle des imprimantes de la victime. Comme l’explique Trend Micro, le virus s’appuie sur « une base de code complètement nouvelle ». Il faudra donc revoir les méthodes de détection du malware.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Source : Trend Micro


Florian Bayard