L'opération de ransomware-as-a-service (RaaS) LockBit a relancé son site de fuite, une semaine seulement après une opération de retrait coordonnée des forces de l’ordre mondiales.
Le 19 février, l'« Opération Cronos Taskforce » – qui comprend, entre autres, le FBI, Europol et la National Crime Agency (NCA) du Royaume-Uni – a mené une action massive. Selon la National Crime Agency (NCA) britannique, le groupe de travail a mis hors service des infrastructures réparties dans trois pays, dont des dizaines de serveurs. Il a saisi du code et d’autres renseignements précieux, des tonnes de données volées à ses victimes et plus de 1,000 200 clés de décryptage associées. Il a vandalisé le site de fuite du groupe et son portail affilié, gelé plus de XNUMX comptes de crypto-monnaie, arrêté un ressortissant polonais et ukrainien et inculpé deux ressortissants russes.
Un porte-parole de l'ANC je l'ai résumé le 26 février, déclarant à Reuters que le groupe « reste complètement compromis ».
La personne a toutefois ajouté que « notre travail pour les cibler et les perturber se poursuit ».
En effet, l’opération Cronos n’a peut-être pas été aussi complète qu’il y paraissait à première vue. Bien que les forces de l'ordre aient pu endommager l'infrastructure principale de LockBit, son chef l'a admis dans une lettre, ses systèmes de sauvegarde sont restés intacts, permettant à l'opération de rebondir rapidement.
Le message laissé sur le portail d'affiliation de LockBit ; Source : vx-underground via X (anciennement Twitter)
« En fin de compte, c'est un coup dur porté par les forces de l'ordre à leur encontre », déclare Michael McPherson, ancien agent spécial du FBI, aujourd'hui vice-président senior des opérations techniques chez ReliaQuest. "Je ne pense pas que quiconque soit assez naïf pour dire que c'est le clou dans le cercueil de ce groupe, mais c'est un coup dur."
Le côté de l'histoire de LockBit
Il serait judicieux d’accueillir le leader de LockBit avec scepticisme. "Comme beaucoup de ces gars dans le domaine des ransomwares, il a un sacré ego, il est un peu instable. Et il est connu pour raconter des histoires assez grotesques lorsque cela correspond à son objectif », déclare Kurtis Minder, négociateur de ransomwares et co-fondateur et PDG de GroupSense.
Dans sa lettre, cependant, la ou les personnes que Minder appelle «Alex» adoptent un ton particulièrement humble.
"En raison de ma négligence personnelle et de mon irresponsabilité, je me suis détendu et je n'ai pas mis à jour PHP à temps", a écrit le leader du ransomware, citant le bug PHP critique noté 9.8 sur 10 par CVSS. CVE-2023-3824 « ce qui a permis d'accéder aux deux serveurs principaux sur lesquels cette version de PHP était installée. Je me rends compte qu'il ne s'agissait peut-être pas de ce CVE, mais de quelque chose d'autre comme 0day pour PHP, mais je ne peux pas en être sûr à 100 %.
Surtout, a-t-il ajouté, "Tous les autres serveurs avec des blogs de sauvegarde sur lesquels PHP n'est pas installé ne sont pas affectés et continueront à fournir des données volées aux entreprises attaquées." En effet, grâce à cette redondance, le site de fuite de LockBit était de nouveau opérationnel au bout d'une semaine, avec une douzaine de victimes : une plateforme de prêt, un réseau national de laboratoires dentaires et, notamment, le comté de Fulton, en Géorgie, où se trouve l'ancien président Trump. actuellement impliqué dans une bataille juridique.
Source : Bitdefender
L’action des forces de l’ordre a-t-elle un impact ?
Depuis des années, les forces de l’ordre américaines et européennes font la une des journaux avec des raids très médiatisés sur d’importantes opérations de ransomware : Ruche, AlphV/BlackCat, Casier de Ragnar, et ainsi de suite. Que malgré ces efforts les ransomwares continuent d'augmenter peut inspirer l’apathie chez certains.
Mais à la suite de tels raids, explique McPherson : « Soit ces groupes ne se sont pas reconstitués, soit ils se sont rétablis dans une moindre mesure. Par exemple, Hive n’a pas encore pu revenir – il y avait de l’intérêt, mais cela ne s’est pas vraiment concrétisé.
Même si les forces de l’ordre n’ont pas totalement éliminé LockBit, cela a probablement causé beaucoup de tort aux pirates. Par exemple, souligne Minder, « ils ont apparemment eu accès à certaines informations des affiliés », ce qui donne aux autorités un levier important.
« Si je suis un affilié ou un autre développeur de ransomwares, je réfléchirai peut-être à deux fois avant d'interagir avec ces personnes, au cas où elles le feraient. devenu informateur du FBI. Cela crée donc une certaine méfiance. Et puis d'un autre côté, je pense qu'ils font la même chose avec LockBit en disant : "Hé, nous savons en fait qui sont tous les affiliés, nous avons toutes leurs informations de contact." Alors maintenant, LockBit va se méfier de ses propres affiliés. C'est un peu le chaos. C'est intéressant."
Toutefois, pour réellement résoudre le problème des ransomwares à long terme, les gouvernements devront peut-être compléter les suppressions flashy par des politiques et des programmes efficaces.
« Il doit y avoir un programme équilibré, peut-être au niveau du gouvernement fédéral, qui aide réellement à la prévention, à l'intervention et à la réparation. Je pense que si nous voyions combien de capitaux quittent réellement l’économie américaine à la suite de ce genre d’activités, nous verrions qu’il serait logique de subventionner un programme comme celui-là, qui éviterait aux gens d’avoir à payer des rançons. » il dit.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/threat-intelligence/lockbit-leak-site-reemerges-week-after-complete-compromise-
