Quelques jours après son démantèlement, le groupe de hackers LockBit fait de nouvelles victimes
Il y a moins d’une semaine, une opération menée par une dizaine de pays mettait hors-ligne les sites du groupe cybercriminel LockBit, connu pour ses attaques par ransomware. Ce week-end, il a annoncé avoir restauré ses serveurs et lancé un nouveau site vitrine. Douze prétendues victimes y sont d’ores et déjà exposées, dont une entreprise française.
Les autorités de dix pays, dont la France, ont annoncé le 19 février avoir saisi les espaces numériques du groupe russophone de hackers LockBit, dans le cadre de l’opération “Cronos”. 34 serveurs ont alors été démantelés, ainsi que le site principal et 22 sites liés au réseau. Un “démantèlement” de courte durée, puisque le 24 février, le groupe cybercriminel connu pour ses attaques par ransomware a mis en ligne un nouveau site vitrine, contredisant les forces de l’ordre et affichant cinq premières victimes prétendues.
Sur le dark web, LockBit minimise l’opération de police
Dans un long message publié sur le darknet et rédigé à la première personne, LockBit explique que les forces de l’ordre, appelées par raccourci “le FBI”, ont piraté deux serveurs principaux, “parce que pendant cinq ans à rouler sur l’or, je suis devenu très paresseux”. Il ajoute : “En raison de ma négligence personnelle et de mon irresponsabilité, je me suis détendu et n’ai pas mis à jour les serveurs PHP à temps.” Un oubli qui aurait donc permis à la police d’exploiter une faille de sécurité dans le langage de programmation PHP. Le groupe n’est pas en mesure de déterminer si la vulnérabilité, identifiée comme CVE-2023-3824, était déjà identifiée ou non.
LockBit a profité de ce message pour contredire les informations obtenues par les forces de l’ordre. Selon lui, l’opération aurait été accélérée par le ransomware contre le comté de Fulton, en Géorgie aux États-Unis, lieu même où Donald Trump a été arrêté l’été dernier avant d’être relâché. Le virus aurait permis de voler des documents sur “les affaires judiciaires de Donald Trump”, raison pour laquelle “le FBI” serait intervenu.
Le groupe criminel souligne aussi que les autorités n’auraient pu obtenir que quelques clés de déchiffrement présentes sur les serveurs, alors que les forces de l’ordre en ont collecté plus de 1000. Pour de nombreux experts en cybersécurité, cette publication de LockBit sur le darknet relève davantage d’une tentative de minimisation de l’opération Cronos, afin de restaurer sa crédibilité.
Douze nouvelles victimes, dont un groupe logistique français
Même si l’infrastructure du groupe a été sérieusement endommagée, les hackers ont refait surface, ce week-end. Ils ont conservé le nom de la marque, et déplacé leur site vers une nouvelle adresse en “.onion”. Sur ce site, ils ont exposé cinq premières victimes samedi, puis sept autres dimanche. Une méthode tapageuse du groupe, qui consiste ici à afficher le nom du site piraté, une courte description et un compte à rebours avant publication des données sensibles.
Parmi les victimes prétendues exposées sur ce nouveau site figure le gouvernement du comté de Fulton, ayant subi plusieurs cyberattaques depuis janvier. Plusieurs entreprises américaines ont été visées, comme un réseau national de laboratoires dentaires, des groupes industriels et de maintenance – Dunaway et STS Aviation Group – ou encore MCS360, une société de services immobiliers. Des sociétés britanniques et australiennes ont également été prises pour cible.
Une entreprise française fait aussi partie du lot : Idea, groupe spécialisé dans la logistique et l’emballage industriel. Principalement basée en Loire-Atlantique, la société emploie près de 2000 collaborateurs. Elle possède une expertise dans de nombreux secteurs sensibles, comme l’aéronautique, la défense ou l’énergie. La société de cybersécurité Sophos a enfin identifié de nouvelles attaques à partir du malware LockBit 3.0 ces derniers jours, notamment envers ConnectWise de ScreenConnect, solution de support de poste à distance. Aucune de ces victimes n'a confirmé avoir été attaquée.
A l'origine de 27% des demandes de rançon
Décrit par Europol comme le groupe de hackers “le plus prolifique et le plus dangereux au monde”, LockBit aurait perçu, depuis 2019 pour 91 millions de dollars. Il serait responsable de 2000 cyberattaques dans le monde. En août 2022, il s’en était pris à l’hôpital de Corbeil-Essonnes, en réclamant un million de dollars, avant de publier les données de santé des patients. Le gang serait à l’origine de 27% des demandes de rançon en France.
SUR LE MÊME SUJET
Quelques jours après son démantèlement, le groupe de hackers LockBit fait de nouvelles victimes
Tous les champs sont obligatoires
0Commentaire
Réagir![[Vidéo] Rencontrez Chloé, conceptrice mécanique chez MBDA](/mediatheque/5/4/0/001530045_400x440_c.jpg)
