Ransomware : Ces failles qui pourraient bien faire chuter un jour LockBit
En se hissant en tête des gangs de rançongiciel, LockBit est devenu la cible prioritaire des cyber polices. Un expert américain, qui a scruté pendant plusieurs mois les actions du groupe, liste dans un rapport passionnant les failles qui pourraient faire un jour chuter ces cybercriminels.
Et si le prochain visé, c’était le gang de rançongiciel LockBit? Après l’annonce du démantèlement des infrastructures des cybercriminels de Hive, à la suite d’une spectaculaire opération internationale menée par les Etats-Unis, tous les regards se dirigent vers LockBit.
Ce gang, qui a par exemple dévasté l’informatique de l’hôpital de Corbeil-Essonnes, est en effet l’organisation la plus active du moment en matière de rançongiciels. La franchise, qui loue l’accès à son rançongiciel à des affiliés contre rémunération, a réussi en mixant innovation, marketing agressif et opportunisme, à se démarquer. Ce qui en fait naturellement la priorité cyber pour les polices du monde entier.
Certes, pour Jon DiMaggio, une arrestation des patrons du gang est peu probable. Mais pour cet expert d’Analyst1, une société américaine spécialisée dans le renseignement sur les cybermenaces, ces cybercriminels à l’égo démesuré et aux excès déjà bien connus ne sont pourtant pas intouchables. Dans un passionnant rapport sur le fonctionnement de LockBit, il liste ainsi les failles qui pourraient un jour faire chuter l’organisation criminelle de son piédestal.
Infiltration
Tout d’abord, l’enquête de Jon DiMaggio montre que ce gang peut être infiltré. Comme il l’explique à The Record, l’analyste a simplement postulé pour être un affilié du groupe. Et à l’issue de son test d’évaluation, non concluant, il a pu rester dans leur canal de messagerie Tox, une sorte de Skype crypté. Ce qui a permis à l’enquêteur d’Analyst1 de suivre certains des échanges du groupe. Puis ensuite, en prétendant être un sous-traitant germanophone, il a engagé directement la conversation avec LockBitSupp, les patrons supposés du groupe - il estime que deux personnes se relaient probablement derrière ce compte.
Autant d’éléments accumulés pendant plusieurs mois, avec les messages publics postés sur les forums de cybercriminels, qui ont permis à Jon DiMaggio de dégager quelques traits caractéristiques. Ainsi, pour l’expert, le patron du gang est vraisemblablement un homme vivant en Russie ou en Europe de l’Est qui, au fond, n’est pas très heureux. Et si ce dernier prétend ne pas vivre dans le pays de Vladimir Poutine et avoir par exemple des participations dans deux restaurants à New-York, c’est d’abord pour brouiller les pistes.
Des inimitiés chez les cybercriminels
Mais l’expert insiste également sur le narcissisme et la soif de revanche des criminels de LockBit. Cette recherche de notoriété est déjà bien documentée. Le groupe avait ainsi lancé un concours d’été atypique, en juin 2020, destiné à récompenser les approches innovantes dans le piratage, et payé des anonymes s’étant tatoué le nom du gang sur leur peau. Un leadership et des "bouffonneries publiques" qui lassent les cybercriminels, juge Jon DiMaggio.
D’autant plus que cette volonté de faire du bruit se concrétise aussi sous la forme de campagnes de diffamation lancées contre des rivaux. Un type de manœuvre assez rare dans ce milieu, estime l’expert d’Analyst1, qui montre qu’au-delà des gains financiers, les patrons de LockBit ressentent le besoin "de passer du temps et de l'énergie à se plaindre de leurs concurrents".
Le gang a enfin connu des clash internes, comme en témoigne la polémique autour du "développeur ivre". En septembre 2022, le gang avait attribué la fuite du code source de son malware à un codeur ayant des problèmes d’alcool. Pour Jon DiMaggio, cet informaticien en fuite est désormais une “cible de grande valeur” pour les forces de l’ordre, au vu de sa connaissance potentielle des rouages du gang. Il juge ainsi probable que l’informaticien et ses anciens dirigeants connaissent leurs identités respectives.
Désinformation et paranoïa
Sans surprise, la paranoïa étant courante chez les cybercriminels, LockBitSupp met en scène sa méfiance. Il affirme conserver un lecteur flash crucial dans un collier de laine porté autour du cou, histoire d’être en capacité de l’avaler au plus vite en cas d’arrestation. De même, il utiliserait le réseau satellitaire StarLink pour rendre plus difficile sa traque.
Quelque soit la véracité de ces affirmations, impossibles à vérifier, elles rappellent qu’il y a un terreau favorable sur lequel travailler. L’un des axes les plus prometteurs pour entraver les actions de LockBit, dit Jon DiMaggio, serait ainsi de travailler sur les peurs. De telles "opérations de guerre de l’information, destinées à injecter de la propagande et de la désinformation sur les forums du dark web", explique-t-il en conclusion, pourraient permettre de semer la zizanie chez les cybercriminels et de les pousser à l’erreur.
Ransomware : Ces failles qui pourraient bien faire chuter un jour LockBit
Tous les champs sont obligatoires
0Commentaire
Réagir
