Technologie
L’ascension et la chute de LockBit : Un regard sur l’opération de ransomware
Depuis environ deux ans, l’opération de ransomware LockBit a dominé le paysage cybercriminel, jusqu’à ce que des événements marquants surviennent en février. Après avoir ciblé des milliers de victimes et extorqué des centaines de millions de dollars, le projet de son créateur, LockbitSupp – identifié par les autorités comme étant le citoyen russe Dmitry Khoroshev – est désormais en péril.
Bien que l’opération Cronos n’ait pas réussi à anéantir complètement LockBit, elle pourrait être considérée comme l’une des plus grandes opérations de démantèlement de ransomware de l’histoire. Certes, l’infrastructure a été partiellement restaurée et son blog est de nouveau actif, mais la réputation de LockBit est gravement compromise.
Près de six mois après les efforts de perturbation des forces de l’ordre, les experts estiment que les membres les plus performants de LockBit ont quitté le navire pour rejoindre des groupes offrant de meilleures opportunités, un meilleur soutien technologique et, surtout, une réputation moins ternie. L’avenir de LockBit et de son leader reste incertain.
Un démantèlement spectaculaire
Sous l’égide de l’Agence nationale de lutte contre le crime du Royaume-Uni (NCA), l’opération Cronos a mis en œuvre une stratégie de démantèlement de LockBit d’une manière très médiatisée, établissant un nouveau standard pour les futures opérations de ce type.
La première étape a été la « semaine de fuite de LockBit » – cinq jours consécutifs de révélations sur le fonctionnement interne de l’organisation, suite à l’intrusion des forces de l’ordre dans ses systèmes. Cette approche innovante a permis de maintenir l’attention des médias sur l’affaire pendant une période prolongée.
Alors que le leader de la bande, LockbitSupp, semblait tenter de revenir à la charge, les autorités ont finalement révélé son identité, un secret jalousement gardé, au point que LockbitSupp avait même promis un million de dollars à quiconque parviendrait à le découvrir.
LockBit continue d’opérer, mais à une échelle considérablement réduite. Son nom ne suscite plus la même crainte qu’auparavant, comme le montrent les chiffres.
Des chiffres révélateurs
Depuis février, LockBit a chuté dans le classement des ransomware, au point de ne plus être comparé à d’autres opérations. Il y a moins d’un an, l’équipe LockBit était à son apogée. En novembre 2023, LockBit avait revendiqué des attaques contre 108 organisations différentes. Ce chiffre est tombé à 82 en décembre, mais restait supérieur à celui de ses concurrents les plus proches, Play, ALPHV/BlackCat et 8base, qui totalisaient 79 attaques, selon les données de Cyfirma.
Cependant, l’intervention de l’opération Cronos a eu un impact immédiat, réduisant le nombre d’attaques à 54 en mars, 24 en avril, et un chiffre surprenant de 174 en mai, que les experts estiment être principalement constitué d’anciennes attaques repostées.
« Pour moi, c’était une tentative de montrer que l’opération Cronos n’avait pas eu d’impact sur LockbitSupp, » déclare Azim Khodjibaev, chercheur en cybersécurité chez Cisco Talos. « C’était comme pour dire ‘regardez, je suis toujours en activité’, mais le public visé n’était ni les médias, ni les forces de l’ordre, ni les chercheurs en cybersécurité. Nous connaissons la vérité sur les victimes. Cette démonstration de force était destinée à attirer de nouveaux affiliés. »
Un mois plus tard, LockBit avait disparu des classements. Selon l’analyse de Cyfirma en juin, LockBit a enregistré le plus faible nombre d’attaques, avec seulement 18, ce qui indique une chute significative.
Une résilience inattendue
Bien qu’il soit désormais une ombre de lui-même, LockBit persiste. L’opération Cronos n’a pas réussi à anéantir complètement l’organisation, ce qui témoigne de la résilience de LockBit. Il est rare que des groupes de ransomware subissent la pleine force d’un démantèlement multi-agences et continuent d’exister par la suite.
Cependant, bien que la marque survive, elle est en lambeaux. LockBit n’étant pas le ransomware le plus techniquement sophistiqué, sa réputation était tout ce qu’il lui restait à protéger.
Robert McArdle, directeur de l’équipe de recherche sur les menaces de Trend Micro, explique : « Le modèle ancien était qu’un groupe de ransomware perturbé redémarrait simplement sous un nouveau nom. Dans le cas de LockBit, la technologie n’était pas exceptionnelle, mais la marque était tout ce qu’ils avaient. »
Des alliés devenus ennemis
Le ransomware LockBit fonctionne toujours, malgré la multitude de clés de déchiffrement publiées par les agences de sécurité. Près de six mois après la perturbation de LockBit, peu d’obstacles se dressent sur son chemin pour retrouver son ancien statut.
Cependant, l’exode massif d’affiliés a joué un rôle crucial dans sa chute. Avec des technologies de ransomware plus rapides et plus conviviales disponibles, la réputation de LockBit était le seul facteur qui maintenait les meilleurs cybercriminels dans son camp.
Cette réputation a été anéantie presque du jour au lendemain, emportant avec elle les espoirs de LockbitSupp de jouer à nouveau un rôle majeur dans le paysage des ransomwares.
LockBit comptait 194 affiliés, selon l’opération Cronos, qui a identifié chacun d’eux. Parmi ceux-ci, 119 ont engagé des négociations avec des victimes, prouvant qu’ils avaient effectivement mené des attaques, et 80 affiliés ont reçu au moins un paiement de rançon.
Aujourd’hui, la situation est radicalement différente. Après avoir révélé l’identité de LockbitSupp en mai, l’opération Cronos a également mis à jour les chiffres, indiquant qu’il ne restait que 69 affiliés, et les experts estiment que seuls des cybercriminels de bas niveau prennent LockBit au sérieux.
L’avenir incertain de LockBit
En matière de démantèlement de ransomware, le schéma habituel est que ces groupes sont basés en Russie, ce qui les protège tant qu’ils ne se rendent pas dans un pays avec un accord d’extradition. Si aucune arrestation n’est effectuée, ils peuvent se retirer temporairement et revenir sous une nouvelle identité.
LockBitSupp, en tant que leader, pourrait être amené à rebrander son opération après ce démantèlement. Khodjibaev pense que, étant donné que LockBit est si étroitement lié à l’identité personnelle de son leader, un rebranding est inévitable.
« LockBit était une marque à laquelle il a investi toute son énergie. Il était connu pour défendre son programme et sa marque. Cela montre que la marque est liée à son identité personnelle, influençant sa décision de continuer sous cette marque. »
Malgré des gains financiers considérables, il semble que LockBit soit plus qu’une simple source de revenus pour LockbitSupp. Comme d’autres figures emblématiques de l’industrie, il pourrait avoir du mal à abandonner son statut.
Il est également possible que LockbitSupp choisisse de ne plus se concentrer sur les ransomwares et explore d’autres avenues. Avec plus de 120 millions de dollars de rançons perçues, il pourrait envisager de conquérir un nouveau domaine.
Quoi qu’il en soit, l’avenir de LockBit et de son leader reste à surveiller, car la continuité de la marque après un démantèlement est un terrain inexploré.
