24/11/2024

Actu Cybersécurité

Ransomware : LockBit est déjà de retour et nargue les forces de l’ordre !

Moins d'une semaine après l'opération Cronos menée par les forces de l'ordre, le gang de cybercriminels LockBit est déjà de retour avec une nouvelle infrastructure. LockBit se dit prêt à effectuer de nouvelles attaques et menace de s'en prendre aux entités gouvernementales. Voici ce que l'on sait.

Lundi 19 février 2024, Europol et les forces de l'ordre de plusieurs pays, dont la France, ont mené l'opération Cronos, qui a permis de porter un coup d'arrêt important aux activités du gang de ransomware LockBit. Les autorités sont parvenues à couper plusieurs sites, à récupérer 34 serveurs, mais également le code source du ransomware, des clés de déchiffrement, etc... Ce qui a permis de créer rapidement un outil de déchiffrement pour LockBit 3.0.

Samedi 24 février 2024, LockBit a mis en ligne un nouveau site vitrine associé à une nouvelle adresse en ".onion" et qui répertorie déjà 5 nouvelles victimes ! Comme à chaque fois, ceci est associé à un compte à rebours pour la publication des données volées.

PHP et la vulnérabilité CVE-2023-3824

LockBitSupp, qui est à la tête de LockBit en a profité pour donner son avis sur ce qu'il vient de se passer, mais également sur l'avenir. Les forces de l'ordre sont parvenues à pirater les serveurs grâce à une faille de sécurité PHP "parce que, après avoir nagé dans l'argent pendant cinq ans, je suis devenu très paresseux", précise-t-il. Effectivement, il indique qu'il a empoché 100 millions de dollars grâce à cette activité.

Il indique que les serveurs avec les interfaces d'administration et le chat n'ont pas été mis à jour, et qu'une version vulnérable de PHP était utilisée. D'après lui, le FBI a exploité la faille de sécurité critique "CVE-2023-3824" présente dans PHP 8.1.2 pour compromettre deux serveurs. Même s'il y a toujours un doute à ce sujet, et que le FBI pourrait avoir exploité une faille de sécurité zero-day.

LockBit estime que les forces de l'ordre ont pris la décision de s'attaquer à leur infrastructure pour éviter la fuite de certaines informations compromettante dans les affaires judiciaires de Donald Trump, et qui pourraient impacter les prochaines élections américaines. Ce qui donne des idées à LockBit : attaquer plus souvent les entités gouvernementales, pour voir dans quelle mesure le FBI est en mesure de riposter. Une manière de narguer les forces de l'ordre.

D'ailleurs, il est important de préciser qu'il utilise le terme "FBI" pour mentionner le FBI, mais également les forces de l'ordre des autres pays qui ont participé à l'opération Cronos : France, Suisse, Japon, Suède, Canada, etc.

LockBit veut renforcer la sécurité de son infrastructure

Les membres de LockBit semblent également bien décidés à renforcer la sécurité de leur infrastructure, notamment grâce à la décentralisation des informations et une meilleure gestion des clés de déchiffrement. L'objectif étant de rendre plus difficile la récupération des données même lorsque les forces de l'ordre parviennent à mettre la main sur des serveurs de LockBit.

Avec cette nouvelle infrastructure, le gang de ransomware souhaite "la protection maximale des déchiffreurs pour chaque entreprise (victime)."

Même si LockBit est de retour, l'opération Cronos reste un très joli coup ! Elle a forcément affaibli LockBit d'une certaine manière, rien qu'au niveau de la confiance entre LockBit et ses affiliés. Malgré tout, méfions-nous des "ripostes" dans les semaines et mois à venir....

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.