Recevez chaque jour toute l'actualité du numérique

x

Comment LockBit est devenu l'un des rançongiciels les plus agressifs

En trois ans, le rançongiciel LockBit s’est imposé comme l’un des malwares phares de la cybercriminalité. Un leadership qui s’explique par de l’innovation, un marketing agressif et une bonne dose d’opportunisme.
Twitter Facebook Linkedin Flipboard Email
×

Comment LockBit est devenu l'un des rançongiciels les plus agressifs
Comment LockBit est devenu l'un des rançongiciels les plus agressifs © Microsoft

Le rançongiciel LockBit fait des ravages. Ce logiciel malveillant est soupçonné d’avoir été utilisé dans la cyberattaque contre le Centre hospitalier sud-francilien, à la fin du mois d’août. En juillet, il avait visé La Poste Mobile. Et quelques mois plus tôt, c’était le département de l’Ardèche qui avait été victime d’une attaque informatique.

Loin de se contenter d’attaquer des organisations françaises, LockBit est devenu trois ans après son apparition en septembre 2019 sous le nom d’ABCD Ransomware l’un des services de rançonnage les plus prisés des cybercriminels. Selon le dernier décompte de l’entreprise de cybersécurité NCC, le logiciel malveillant s’est distingué avec 52 incidents en juillet 2022, contre 27 victimes pour Hiveleaks et 24 pour BlackBasta.
 

Troisième version

Pour supplanter la concurrence, les hackers malveillants de LockBit ont investi dans la recherche et le développement. Après une première version de leur logiciel, une deuxième a été lancée en janvier 2021. Avant une troisième, l’actuelle, censée être selon les cybercriminels la plus rapide et la plus stable au monde.

"En trois ans, ils ont beaucoup appris, analyse Marc Rivero, chercheur senior en sécurité chez Kaspersky. Ils ont aujourd’hui sans doute les meilleures offres d’accès piratés - les initial access broker - et sont devenus le numéro un du rançongiciel." Un gang qui se distingue également, remarquait TrendMicro, par le débauchage de développeurs de talents.

Ainsi, selon la société Cluster25, LockBit 3.0 comporte de fortes similitudes avec d’autres familles de rançongiciels, à savoir BlackMatter et DarkSide. "Dans cette dernière version, ils ont réussi à reprendre à leur compte les caractéristiques les plus intéressantes des autres grands groupes", comme de meilleures capacités de dissimulation, souligne Marc Rivero.

Partenariats criminels

S’agit-il d’une simple reprise à leur compte de fonctionnalités développées par d’autres ou est-ce la marque d’échanges poussés avec des groupes de cybercriminels? Comme le relève la société de renseignement sur les cybermenaces Intel471, des managers de haut niveau du rançongiciel Conti avaient par exemple échangé en novembre 2021 de la possibilité d’un partenariat avec LockBit, un gang connu aussi pour sa coopération avec Maze.

Aidés ou non, les cybercriminels de LockBit ont prouvé qu’ils savaient innover. Ils ont ainsi adopté assez rapidement le modèle de la double extorsion, avec la création d’un site pour signaler les fuites de données et un maliciel, StealBit, automatisant le vol de fichiers. Et inspirés par les attaques en déni de service qu’ils ont encaissées, ils cherchent désormais à ajouter cette corde à l’arc de leurs activités malveillantes.

Le gang a même lancé un inédit programme de bug bounty, ces recherches de vulnérabilités, pour améliorer leur logiciel malveillant. Si la première prime débute à 1000 dollars, les cybercriminels promettent un million de dollars à ceux qui seraient capables de les identifier.

 

 

Une start-up de la cybercriminalité

Activités criminelles oblige, on ignore qui sont les opérateurs de LockBit. Mais le logiciel étant conçu pour ne pas s’activer dans l’espace russophone, les cybercriminels sont soupçonnés de vivre en Europe de l’Est. Les chercheurs en sécurité remarquent également que le gang est actif sur des forums de pirates informatiques russophones, tandis que les experts de Cisco avaient localisé en Sibérie russe un affilié, ces criminels qui louent l’accès au logiciel malveillant contre une grande part des rançons collectées.

De même, on ignore combien de personnes gravitent exactement autour du logiciel malveillant. Dans une récente interview, LockBit affirme rassembler plus de cent personnes. Mais “dix à quinze personnes seraient suffisantes pour développer un rançongiciel et communiquer autour de cette infrastructure”, remarque Nicolas Caproni, le patron des analystes en cybermenaces de Sekoia.

"C’est plus une start-up de la cybercriminalité qu’une grande entreprise, ajoute Nicolas Caproni. Plutôt que de parler d’un groupe, il faut plutôt penser à un groupe de développeurs et des affiliés qui utilisent différents logiciels de rançongiciels suivant la cible, avertit-t-il. Ce caractère nébuleux est une force pour eux car cela complique le travail de la justice." Ainsi, des attaques informatiques basées sur LockBit rassemblent certainement des groupes criminels différents n’ayant aucun lien autre que l’utilisation du rançongiciel.

De nombreux affiliés

Grâce à un marketing agressif, les développeurs de LockBit ont en effet réussi à attirer de nombreux affiliés. Par exemple en donnant de nombreuses interviews où les succès du gang sont mis en avant, une façon de se faire mousser. "Au cours des 3 derniers mois, nous avons attaqué plus de 700 entreprises", affirmait par exemple un porte-parole à The Record en octobre 2021. "Nous sommes les seuls à n'avoir jamais arnaquer qui que ce soit", indiquait également cette personne, une précision importante au vu des sommes en jeu. Selon le spécialiste de la négociation Coveware, le montant moyen des rançons payées à LockBit s'élèverait à environ un million de dollars en juillet 2022.

Revers de la médaille de cet important effort de recrutement, le contrôle de ces recrues semble très lâche. Ce qui explique sans doute la communication erratique de LockBit. Ainsi, la fausse cyberattaque contre le ministère de la justice français s’est révélée bidon. De même, le géant de la cybersécurité Mandiant n’avait pas été piraté par le groupe. Quant au code éthique du gang qui affirmait ne pas vouloir s’en prendre à des hôpitaux, il est contredit par l’exemple de l’hôpital de Corbeil-Essonnes.

Au sommet, l'avenir de LockBit semble pourtant incertain. Le gang a bénéficié de la disparition d’autres groupes criminels. Les rançongiciels connaissent en effet un cycle de vie de seulement quelques années, qui se termine soit par des arrestations policières, soit par un retrait volontaire des cybercriminels. Une manière pour ces derniers de se refaire une virginité en relançant une nouvelle marque.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.