Logo Zéphyrnet

Intelligence de données générative

Cyber sécurité

L'orgueil peut avoir contribué à la chute du Ransomware Kingpin LockBit

Republié par Platon
Republié par Platon

Date :

Vues: 168

Malgré tout son succès tant vanté, l'opération du ransomware LockBit semble avoir déjà été en proie à des problèmes lorsqu'un effort international d'application de la loi dirigé par la National Crime Agency (NCA) du Royaume-Uni ferme-le cette semaine.

Les rapports des fournisseurs de sécurité qui ont fait surface après le retrait dressent le portrait d'un groupe de ransomware-as-a-service (RaaS) autrefois innovant et agressif, récemment aux prises avec des dissensions parmi ses membres et ses affiliés, et avec la perception qu'il s'agissait d'un mouchard par certains au sein du monde criminel. communauté.

Dommage irréparable?

Beaucoup estiment que l'opération policière a probablement causé des dommages irréparables à la capacité du groupe criminel à poursuivre ses activités de ransomware, du moins sous sa forme actuelle et sous la marque LockBit. Bien qu'il soit probable que les dizaines de sociétés affiliées indépendantes qui ont distribué et déployé LockBit sur les systèmes victimes poursuivront leurs opérations en utilisant d'autres fournisseurs RaaS, leur capacité à continuer avec LockBit lui-même ne semble pas viable pour le moment.

« Il est probablement trop tôt pour le dire », déclare Jon Clay, vice-président du renseignement sur les menaces chez Trend Micro, qui a collaboré avec la NCA pour analyser une nouvelle version de développement de LockBit et publier des indicateurs de compromission. "Mais en raison de l'exposition et de toutes les informations partagées, comme les outils de décryptage [de LockBit], les comptes de crypto-monnaie saisis et le retrait des infrastructures, le groupe et ses filiales sont probablement empêchés de fonctionner efficacement."

La division cyber de la NCA en collaboration avec le FBI, le ministère américain de la Justice et les forces de l'ordre d'autres pays plus tôt cette semaine ont révélé qu'ils avaient gravement perturbé L'infrastructure et les opérations de LockBit sous l'égide d'un effort de plusieurs mois baptisé « Opération Cronos ».

L'effort international a abouti à ce que les forces de l'ordre prennent le contrôle des principaux serveurs administratifs de LockBit, ce qui permettait aux filiales de mener des attaques ; le principal site de fuite du groupe ; Le code source de LockBit ; et des informations précieuses sur les affiliés et leurs victimes. Sur une période de 12 heures, les membres du groupe de travail Operation Cronos ont saisi 28 serveurs dans trois pays que les filiales de LockBit ont utilisés dans leurs attaques. Ils ont également supprimé trois serveurs hébergeant un outil d'exfiltration de données LockBit personnalisé appelé StealBit ; récupéré plus de 1,000 200 clés de décryptage qui pourraient potentiellement aider les victimes à récupérer des données cryptées par LockBit ; et gelé quelque XNUMX comptes de crypto-monnaie connectés à LockBit.

La rupture initiale semble avoir résulté d'un échec de sécurité opérationnelle de la part de LockBit - une vulnérabilité PHP non corrigée (CVE-2023-3824) qui a permis aux forces de l'ordre de prendre pied sur l'environnement de LockBit.

Récompense de 15 million de dollars

Le DoJ américain le même jour également descellé un acte d'accusation qui a inculpé deux ressortissants russes – Ivan Kondratyev, alias Bassterlord, l'un des nombreux affiliés les plus importants de LockBit, et Artur Sungatov – pour attaques de ransomware contre des victimes à travers les États-Unis. Le département a également révélé qu'il détenait actuellement deux autres personnes, Mikhaïl Vasiliev et Ruslan Astamirov, pour des accusations liées à leur participation à LockBit. Avec ce nouvel acte d'accusation, le gouvernement américain affirme avoir jusqu'à présent inculpé cinq membres éminents de LockBit pour leur rôle dans les opérations du syndicat du crime.

Le 21 février, le Département d'État américain a intensifié la pression contre les membres de LockBit en annonçant des récompenses totalisant 15 millions de dollars pour obtenir des informations menant à l’arrestation et à la condamnation des membres clés et des dirigeants du groupe. Le Département du Trésor s'est joint à la mêlée en imposer des sanctions sur Kondratyev et Sungatov, ce qui signifie que tout paiement futur que les victimes américaines de LockBit effectueraient à LockBit serait strictement illégal.

Lors du retrait, les forces de l'ordre ont laissé des messages quelque peu moqueurs aux affiliés et autres personnes liées à LockBit sur les sites qu'ils avaient saisis au cours de l'opération. Certains experts en sécurité ont considéré cette pêche à la traîne comme une tentative délibérée de l'opération Cronos d'ébranler la confiance des autres acteurs du ransomware.

L'une des raisons est d'« envoyer un message d'avertissement aux autres opérateurs indiquant que LEA peut et va cibler votre groupe pour des actions similaires », explique Yelisey Bohuslavskiy, directrice de recherche à la société de renseignement sur les menaces RedSense. « Il est probable que de nombreux groupes évaluent actuellement leur sécurité opérationnelle pour déterminer si elles ont déjà été violées et devront peut-être trouver un moyen de mieux sécuriser leurs opérations et leur infrastructure. »

Ensemble, ces actions représentent un succès bien mérité pour les forces de l’ordre contre un groupe qui, au cours des quatre dernières années, a causé des milliards de dollars de dommages et a extorqué la somme colossale de 120 millions de dollars aux organisations de victimes du monde entier. L'opération fait suite à une série de succès similaires au cours de l'année écoulée, notamment le démantèlement de ALPHV / BlackCat, Ruche, Casier de Ragnaret QakbotComment, un compte-gouttes de ransomware largement utilisé.

Un défi à reconstruire

Alors que d'autres groupes ont rebondi après des retraits similaires, LockBit lui-même pourrait avoir un plus grand défi à redémarrer. Dans un blog suivant l'annonce du retrait, Trend Micro a décrit le groupe comme ayant récemment eu du mal rester à flot à cause de nombreux problèmes. Il s’agit notamment du vol et de la fuite ultérieure du constructeur de LockBit par un membre mécontent en septembre 2022, qui a permis à d’autres acteurs malveillants de déployer un ransomware basé sur le code LockBit. Une série d'affirmations manifestement fausses concernant de nouvelles victimes et des fuites de données inventées sur le site de fuite de LockBit à partir d'avril dernier ont également soulevé des questions sur le nombre de victimes du groupe, et ses efforts de plus en plus frénétiques pour attaquer de nouveaux affiliés ont eu un « air de désespoir » autour. cela, a déclaré Trend Micro. La réputation de LockBit en tant qu'acteur RaaS de confiance parmi les cybercriminels a également été mise à mal à la suite de rumeurs selon lesquelles il refuserait de payer ses affiliés comme promis, a déclaré le fournisseur de sécurité.

Récemment, l'équipe administrative de LockBit a subi une pression importante du point de vue de la fiabilité et de la réputation à la suite d'une attaque de ransomware contre la société russe AN Security en janvier impliquant le ransomware LockBit, a déclaré Aamil Karimi, responsable du renseignement sur les menaces chez Optiv.

« Les attaques contre les pays de la CEI sont strictement interdites dans la plupart des opérations RaaS », explique Karimi. « Ils risquaient des amendes et étaient bannis des forums clandestins à la suite de l’attaque contre AN Security. » Ce qui a ajouté au drame autour de l'incident, ce sont les rumeurs selon lesquelles un groupe rival aurait délibérément mené l'attaque pour créer des problèmes à LockBit, note-t-il.

Un mouchard du FSB ?

Pour cette raison, les groupes rivaux avaient de nombreuses opportunités de s’emparer de l’espace occupé par LockBit. « Les groupes rivaux n'ont manifesté aucun remords » suite à l'annonce du retrait de LockBit, dit-il. "LockBit était le groupe le plus prolifique, mais en ce qui concerne le respect et la réputation, je ne pense pas qu'il y ait eu d'amour perdu."

Bohuslavskiy de RedSense affirme que les soupçons selon lesquels un administrateur de LockBit pourrait être remplacé par des agents du service de renseignement extérieur russe (FSB) n'ont pas non plus amélioré l'image du groupe. Il affirme que les origines de ces soupçons remontent à 2021, lorsque le gouvernement russe a semblé prendre une série de mesures contre les opérateurs de ransomwares tels que REvil et Avaddon. C'est à peu près à cette époque que l'administrateur de LockBit s'est soudainement tu, dit Bohuslavskiy.

« Cela a été principalement repéré par les [courtiers d'accès initiaux] qui travaillaient directement avec [l'administrateur] », note-t-il. "En août, l'administrateur est réapparu, et c'est à ce moment-là que les IAB ont commencé à dire que la personne avait été changée et remplacée par un agent du FSB."

RedSense cette semaine a publié un blog résumant les conclusions d'une enquête de trois ans sur LockBit, basée sur des conversations avec des membres de l'opération.

spot_img

Dernières informations

spot_img

Copyright @ 2024 Platon Technologies Inc.