L'essor et la chute du ransomware LockBit

Un groupe international de travail a saisi une partie importante de l’infrastructure appartenant au groupe de ransomware LockBit. Il s’agit d’une perturbation majeure du projet criminel de LockBit, qui le rend « effectivement redondant » selon Graeme Biggar, directeur général de la National Crime Agency (NCA).  Le « démantèlement » de LockBit a été annoncé par Europol et le FBI lors de conférences de presse distinctes. Le directeur adjoint du FBI chargé de la cybersécurité, Brett Leatherman, a déclaré que l’opération avait perturbé « l’infrastructure frontale et dorsale de LockBit aux États-Unis et à l’étranger » et avait entravé la capacité de LockBit à nuire de nouveau.

Les autorités ont également entrepris de contacter les victimes connues de LockBit pour leur distribuer des clés de déchiffrement et toute autre assistance possible. Si vous êtes victime de LockBit ou d’un autre ransomware, vous pouvez obtenir de l’aide en vous rendant sur le site du FBI dédié aux victimes de LockBit ou sur le portail international No More Ransom. 

Opération Cronos

L’opération Cronos est un effort international visant à cibler et à perturber le ransomware LockBit.  Dix agences sont membres du groupe de travail conjoint, et quatre autres agences n’en étaient pas membres mais ont participé à l’opération. La liste de ces agences internationales figure dans les annonces d’Europol et du FBI. Le FBI a commencé à cibler LockBit en 2021 avec une campagne en plusieurs phases visant à éliminer ce groupe. Les forces de l’ordre et les services de renseignement américains ont ciblé les acteurs de LockBit, leurs finances, leurs communications, leurs malwares et leur infrastructure de soutien. Une fois cette étape franchie, l’étape suivante a été la saisie de l’ensemble de l’infrastructure et l’engagement de poursuites pénales contre les pirates.

Les résultats actuellement connus de l’opération Cronos sont brièvement résumés ici :

• L'opération Cronos a permis la saisie de 34 serveurs au total, dont 4 aux États-Unis.
  
• Deux associés de LockBit ont été arrêtés et inculpés par le ministère de la Justice. L’inculpation de trois autres associés sera bientôt annoncée.
• L’Office of Foreign Assets Control (OFAC) des États-Unis a imposé des sanctions à deux pirates de LockBit responsables d’activités cybernétiques malveillantes.
• Plus de 1 000 clés de déchiffrement ont été saisies et seront distribuées aux victimes.
• Le Département d’État des États-Unis offre une récompense allant jusqu’à 15 millions de dollars par l’intermédiaire du Transnational Organized Crime Rewards Program pour toute personne ayant des informations sur des acteurs liés à LockBit. 
• Plus de 200 portefeuilles cryptographiques liés à LockBit ont été saisis.

La longue durée de vie de LockBit

LockBit est un ancien groupe qui menait ses activités sous le nom de ransomware ABCD lorsqu’il a été observé pour la première fois en 2019. Il a été rebaptisé LockBit et a adopté le modèle Ransomware-as-a-Service (RaaS) en 2020.  Il s’agit d’un groupe intéressant, car il fonctionnait selon un modèle d’entreprise qui incluait des investissements continus dans les opérations, un recrutement proactif et des relations publiques. Voici une chronologie approximative des événements notables liés à LockBit :

2021 :

Juin : LockBit 2.0 (alias LockBit Red) est observé dans la nature.

Octobre : LockBit 2.0 ajoute des fonctionnalités destinées à cibler Linux et VMware ESXi.

2022 :

Mars : LockBit 3.0 (alias LockBit Black) est observé dans la nature.

Août : les opérateurs de LockBit ajoutent des attaques par déni de service distribué (DDoS) à leurs opérations, créant ainsi une menace à triple extorsion.

Septembre : le générateur de LockBit 3.0 est divulgué au public, et des pirates qui n’appartiennent pas au groupe commencent à utiliser le code divulgué pour lancer leurs propres opérations.

Septembre : LockBit propose de payer des gens pour qu’ils se fassent des tatouages LockBit sur le corps et en publient des photos sur les réseaux sociaux.

2023 :

Janvier : sortie de LockBit Green. Cette version inclut le code source du ransomware Conti.

Février : l’agence canadienne de cyber-renseignement décrit LockBit comme un « groupe prolifique de ransomwares lié à la Russie » et le qualifie de « menace durable » pour l’État.

Mars : LockBit affirme avoir pénétré le système informatique de la ville d’Oakland, mais cela n’a pas été considéré comme crédible à l’époque.

Avril : LockBit lance un ransomware qui cible MacOS.

Juin : LockBit aurait été la variante de ransomware la plus déployée au monde en 2022.

Juin : les ransomwares LockBit et 8Base sont identifiés comme les deux principales menaces visant des cibles industrielles.

Août : les opérateurs de LockBit contribuent à des concours russes de rédaction de contenus sur des forums, qui visent en fait à développer et à recruter des pirates.

Novembre : le système d'indemnisation RaaS de LockBit est modifié pour obliger les associés à demander des rançons plus élevées.

Décembre : LockBit recrute activement des développeurs et des associés des groupes de ransomwares BlackCat/ALPHV et NoEscape.

Décembre : LockBit présente ses excuses publiques pour l'attaque d'un hôpital pour enfants

Au cours du premier semestre 2023, les chercheurs ont constaté que la durée de vie moyenne d’un pirate utilisant un ransomware était de 262 jours et que la durée de vie médiane était de 167 jours. Au moment de la rédaction de ce rapport, LockBit 3.0 sévissait depuis 367 jours.

Jon Dimaggio a beaucoup écrit sur les opérations de LockBit. En janvier 2024, il a décrit pourquoi LockBit existe depuis si longtemps :

 « Il s’agit du groupe de ransomwares le plus connu, en raison de son volume considérable. Et la raison de leur réussite est que le leader est un bon homme d’affaires.

…

Ils ont créé un ransomware de type « point-and-click » que tout le monde peut utiliser, ils mettent à jour leur logiciel, ils sont constamment à l’affût des réactions des utilisateurs, ils se soucient de leur expérience utilisateur, ils débauchent des membres de groupes rivaux. Son leader gère son groupe comme une entreprise et, de ce fait, elle est très, très attirante pour les criminels. »

Les responsables des forces de l'ordre et les chercheurs en sécurité ont également attribué la longévité de LockBit à cette approche professionnelle.  

Versions et cibles

L’histoire de LockBit se révèle également dans les capacités et les cibles de ses malwares. Il existe quatre versions de LockBit couramment référencées par les chercheurs et les médias :

LockBit est la version originale du ransomware, apparue en 2019. Elle se distinguait par sa capacité automatisée à déployer le chiffrement en moins de cinq minutes et à se propager rapidement au sein d’un réseau. Les principales fonctionnalités de cette version sont les suivantes :

• Des algorithmes de chiffrement puissants rendaient les fichiers des systèmes infectés inaccessibles à la victime.
• Les déplacements latéraux sur le réseau ont infecté d'autres systèmes et appareils connectés au même réseau.
• Après avoir chiffré les fichiers, LockBit a affiché une demande de rançon demandant le paiement en échange d'une clé de déchiffrement.

LockBit 2.0 a été « officiellement » publié en juillet 2021 et constitue une amélioration significative par rapport à la version précédente. Cette version pouvait exploiter les règles de groupe Active Directory pour chiffrer automatiquement les domaines Windows. Quelques mois après sa sortie, la version 2.0 a ajouté la possibilité de cibler les hôtes Linux et les serveurs ESXi et de chiffrer les images VMware hébergées sur ces plateformes. Autres caractéristiques clés :

• LockBit 2.0 a introduit une tactique de « double extorsion » utilisant StealBit pour l’exfiltration de données. Cela a permis aux opérateurs de LockBit de voler des données sensibles provenant de systèmes infectés, puis de menacer de publier ces données si la rançon n’était pas payée. Les tactiques de double extorsion ont accru la pression sur les victimes pour qu’elles payent la rançon plutôt que de procéder à une restauration à partir d’une sauvegarde.
• L'amélioration des techniques de chiffrement ont rendu plus difficile le déchiffrement des fichiers sans la clé appropriée.
• Les fonctionnalités de contournement et de furtivité ont été améliorées, ce qui rend plus difficile la détection et le blocage du ransomware par les logiciels de sécurité.

LockBit 3.0 a été lancé fin juin 2022. Cette version a encore amélioré la vitesse de chiffrement et introduit des techniques anti-analyse, une exécution uniquement par mot de passe et une augmentation de la ligne de commande. Avec cette version, les opérateurs de LockBit ont ajouté un programme de type « bug bounty » pour encourager le signalement des vulnérabilités en échange de récompenses pécuniaires.

• 3.0 utilise certaines fonctionnalités connues pour être utilisées par les ransomwares BlackMatter et Alphv (BlackCat).
• LockBit 3.0 utilise des algorithmes de chiffrement encore plus puissants, ce qui rend pratiquement impossible le déchiffrement de fichiers sans clé de déchiffrement.
• Les capacités de furtivité sont considérablement améliorées, ce qui rend encore plus difficile la détection et le blocage du ransomware par les logiciels de sécurité.
• La version 3.0 permet de supprimer les fichiers journaux, de vider la corbeille et de modifier le fond d’écran et les icônes du système hôte.
• Les capacités DDoS donnent à LockBit la possibilité de menacer une triple extorsion.

LockBit Green a été publié en janvier 2023 et a intégré le code source du ransomware Conti. Il ciblait les environnements Windows et a été spécifiquement modifié pour cibler les services cloud.

Chaque version de LockBit a amélioré les fonctionnalités existantes. Rien de bien surprenant. Ce qui est remarquable en revanche, c’est la capacité de LockBit à suivre les tendances de l’adoption du cloud et de l’accélération numérique, ce qui se traduit par une meilleure capacité de ciblage. Conscients de la tolérance croissante des entreprises à l’égard des violations de données, ils ont ajouté les attaques par déni de service (DDoS) comme menace supplémentaire de perturbation de l’activité. Ils ont fait preuve d’insolence avec l’histoire des tatouages et ont montré leur sens des affaires avec leurs pratiques de recrutement et leurs déclarations répétées selon lesquelles ils n’avaient pas d’affiliation politique. Leur affirmation selon laquelle ils ne s’intéressaient qu’à l’argent allait parfois à l’encontre de ce que l’on savait des différents liens qu’entretenait le groupe. Cependant, LockBit avait de nombreux associés, et les groupes criminels de ce type ne peuvent pas contrôler l’idéologie de chaque membre, et ils ne peuvent pas continuer à se développer sans susciter un certain mécontentement au sein de leurs rangs. LockBit était déjà talonné par Royal pour son statut de menace dominante, et la version 3.0 avait déjà été divulguée au public. Si l’opération Cronos n’avait pas existé, LockBit aurait pu se scinder en plusieurs nouveaux groupes.

Qu'est-ce que tout cela signifie ?

Même s’il faut se réjouir que les activités de LockBit aient été perturbées, nous ne pouvons pas prétendre que la menace qu’ils représentent a disparu. Le porte-parole @LockBitSupp prétend que tout va bien : 

Bien que ce ne soit probablement pas exact, LockBit 3.0 a été divulgué au public et est utilisé par des acteurs externes à Lockbit. Une partie de l’infrastructure de LockBit perdure probablement, mais qui sait dans quelle mesure, et qui connaît son efficacité ? Il est difficile de prédire ce qui nous attend.

Nous ne pouvons pas non plus exagérer l’influence de LockBit sur l’écosystème des ransomwares en général. Si vous projetez de créer une entreprise mondiale de ransomwares, le fonctionnement de LockBit fournit de nombreux exemples de ce que vous devez et ne devez pas faire. Les développeurs et les distributeurs associés à LockBit qui restent libres poursuivront leur activité criminelle dans d’autres groupes de ransomwares. Dans le cas peu probable où tout LockBit disparaîtrait, ces tatouages demeureront, pour nous rappeler que le rêve d’un empire de ransomwares reste d’actualité.

Mais le revers de la médaille, c’est que les acteurs malveillants, où qu’ils se trouvent, viennent de voir le puissant LockBit tomber à la suite d’un effort international sans précédent. Des récompenses distinctes de plusieurs millions de dollars sont proposées pour toute information sur les pirates de LockBit, Hive et BlackCat RaaS. Des poursuites pénales ont été intentées, des arrestations ont été effectuées et des sanctions ont été imposées. S’il existait une alerte rouge pour les opérateurs de ransomwares, ce serait bien celle-là.

Extrait de la conférence de presse du FBI :

Nous allons continuer à recueillir des preuves, à établir notre carte des développeurs, des administrateurs et des associés de LockBit, et à utiliser ces connaissances pour mener des arrestations, des saisies et d’autres opérations, que ce soit par le biais du FBI ou de nos partenaires ici et à l’étranger.

S’il s’agit bien d’une lutte pour protéger notre pays, nos citoyens et notre sécurité nationale, ne vous y trompez pas : la lutte pour la cybersécurité s’étend au monde entier. Mais la présence et les partenariats du FBI également.

Rappel aux cybercriminels : peu importe où vous vous trouvez et quels que soient vos efforts pour brouiller les pistes, votre infrastructure, vos associés, votre argent et votre liberté sont tous en danger. Vos activités ne resteront pas impunies.