Barracuda full logo

LockBit au FBI : « Vous ne pouvez pas m'arrêter »

Thèmes:
27 févr. 2024
|
Christine Barry

Un développement insolite et quelque peu désolant s'est produit ces derniers jours en lien avec Lockbit. @LockBitSupp, le leader présumé du très actif groupe de ransomware LockBit, a publié une réponse officielle à l'opération Cronos et au FBI. Dans un document de près de 3 000 mots, LockBitSupp a relaté sa version de ce qui s'était passé, de ce qui avait été saisi, de ce qui restait et de ce qu'il avait appris. Vous trouverez ici des informations sur l'opération Cronos et LockBit.

J'ai paraphrasé les points importants du document et inclus quelques citations directes de l'auteur.  Cette section comprend des commentaires issus de la réponse écrite de LockBit, et non ceux de Barracuda ou d'autres sources tierces.

Que s'est-il passé ?

  • Les serveurs de LockBit ont probablement été compromis par des vulnérabilités dans PHP 8.1.2. Seuls les serveurs utilisant cette ancienne version de PHP ont été affectés.
  • Cette compromission a sans doute été le fait de CVE https://www.cvedetails.com/cve/CVE-2023-3824/ mais aurait pu venir d'ailleurs.  Les serveurs exécutent désormais PHP 8.3.3, et LockBit récompensera la première personne qui trouvera et signalera un élément CVE sur cette version. LockBit propose également un programme de chasse aux bugs avec primes à la clé pour renforcer la sécurité de ses opérations.
  • Le FBI a agi contre LockBit en raison de la compromission du comté de Fulton, en Géorgie. Les documents volés au comté de Fulton contiennent des informations sur « les affaires judiciaires de Donald Trump qui pourraient affecter les élections américaines à venir ».  Les négociations avec le comté de Fulton étaient au point mort. Les documents devaient être publiés le jour de la saisie, ce qui explique le minutage de « l’attaque du FBI ».

«... après cinq ans à nager dans l’argent, je suis devenu très paresseux ... À cause de ma négligence personnelle et de mon comportement irresponsable, j'ai baissé ma garde et je n’ai pas mis à jour PHP en temps voulu. »

Qu'est-ce qui a été saisi ?

  • Le FBI affirme avoir saisi de nombreux actifs de LockBit, dont 1 000 déchiffreurs. Cela représente environ 2,5 % des déchiffreurs LockBit, dont la plupart sont protégés et ne peuvent pas être utilisés par le FBI.
  • Le FBI a saisi les surnoms générés de divers partenaires de LockBit. Ces surnoms ne sont pas associés à de véritables partenaires physiques de LockBit et ne permettront pas de les identifier. Le FBI pense peut-être avoir arrêté des partenaires de LockBit sur la base de ces surnoms, mais c'est inexact.   
  • Le code source du panneau Web saisi par le FBI était la seule chose de valeur. Le panneau devra désormais être décentralisé sur de nombreux serveurs afin d'éviter toute compromission future.

« La fuite du code source du panneau s’est également produite chez des concurrents ; cela ne les a pas empêchés de continuer leur travail, et cela ne m’arrêtera pas non plus. »

Que reste-t-il ?

  • Des dizaines de domaines LockBit opérationnels sont répertoriés dans le document, et la plupart étaient en place avant la saisie.
  • LockBit continuera à diffuser les données volées aux entreprises victimes. Une fois qu’une protection supplémentaire sera ajoutée, il n’y aura « aucune chance » que les clés de déchiffrement saisies fonctionnent.
  • Les données du comté de Fulton seront publiées si la rançon n'est pas payée d'ici le 2 mars 2024.

« De nouveaux affiliés peuvent participer à mon programme d'affiliation s'ils se sont fait une réputation sur les forums, s'ils peuvent prouver qu'ils ont déjà effectué des intrusions et reçu des paiements, ou en effectuant un dépôt de 2 bitcoins »

Leçons retenues et conseils aux autres :

  • Ne vous contentez pas de mettre à jour PHP. Changez vos hôtes, changez vos mots de passe et migrez le tout. Il n'y a aucune garantie que le FBI ne dispose pas d'une attaque zero-day ou d'un autre moyen de pirater de nouveau les serveurs compromis.
  • Le blanchiment de cryptomonnaie de haute qualité protège les opérateurs de ransomwares.

« Quelles conclusions tirer de cette situation ? C'est très simple : je dois attaquer davantage le secteur gouvernemental et de plus en plus souvent ; de telles attaques forceront le FBI à révéler mes faiblesses et mes vulnérabilités, ce qui me rendra plus fort. En attaquant le secteur gouvernemental, vous pourrez savoir précisément si oui ou non, le FBI a la capacité de nous attaquer. »

LockBitSupp consacre également une partie de sa lettre à railler les forces de l'ordre...

« Le concepteur du FBI devrait travailler pour moi, il a bon goût ; j'ai particulièrement aimé le nouveau préchargeur... Je me demande pourquoi les blogs concernant Alpha, REvil et Hive n'ont pas été conçus de manière aussi attrayante ?

«... une belle publicité de la part du FBI, selon laquelle mes affiliés et moi gagnons ensemble des centaines de millions de dollars, et aucun FBI, avec tout son personnel, ne peut m'effrayer ni m'arrêter. La stabilité du service est garantie par des années de travail continu. »

... et à se plaindre d'elles.

«… il serait intéressant de voir la vidéo de l'arrestation montrant le domicile des personnes concernées, des Lamborghini, des ordinateurs portables, ainsi que des preuves de leur implication dans nos activités, mais je pense que nous ne la verrons pas… Le FBI a arrêté des personnes au hasard pour se voir décerner un certificat de mérite par la direction »

« Je n'ai jamais fait de don à personne. Ce serait bien si le FBI montrait la transaction afin que je puisse vérifier sur la blockchain d'où proviennent leurs conclusions et pourquoi ils prétendent que c'est moi qui a fait ce don »

« Vous pouvez m'accuser de n'importe quoi sans rien prouver, et je ne peux en aucun cas le réfuter, car il n'y a pas de transactions ni de portefeuilles de bitcoins. »

Cette déclaration contient beaucoup d'éléments, mais une grande partie est redondante, et le tout est écrit par un criminel qui tente de protéger son opération de ransomware contre les pertes financières. Je doute que le public puisse démêler le vrai du faux, mais nous devrions partir de l'hypothèse qu’aucune menace de ransomware n’est jamais complètement stoppée. Les personnes qui ne sont pas arrêtées continueront leurs agissements et les ressources non saisies seront vendues à ou partagées avec d’autres acteurs malveillants. Si nous dessinions un arbre généalogique des ransomwares, nous retrouverions les mêmes noms à plusieurs endroits. En remontant suffisamment loin dans le temps, nous pourrions peut-être trouver une disquette datant de 1989 environ.  Lorsque le groupe de travail de l'opération Cronos a annoncé les saisies chez LockBit, il était raisonnable de supposer que LockBit n'avait pas disparu. Le FBI a qualifié son opération d'« interruption » et @LockBitSupp nous a dit qu'il était trop tard pour l'arrêter. Étant donné que nous ne pouvons pas savoir exactement ce qui est vrai ou faux, examinons certaines des affirmations que renferme la lettre de réfutation de LockBitSupp :

Allégation : LockBit a volé des données relatives à l’inculpation de Donald Trump en Géorgie

LockBit a déjà publié environ deux douzaines de fichiers prétendument volés au comté de Fulton. La divulgation de documents avant la négociation d'une rançon est courante, car elle montre à la victime et aux autres acteurs malveillants que la menace est réelle. Brian Krebs, de KrebsOnSecurity, nous renvoie au reportage de George Chidi, de la newsletter « The Atlanta Objective ».  

D'après Chidi, les fichiers divulgués comprendraient notamment les suivants :

« Les captures d'écran suggèrent que les hackers pourront donner à tout avocat défendant une affaire criminelle dans le comté la possibilité de faire valoir que des preuves ont été altérées ou des témoins, intimidés, et que la divulgation d'informations confidentielles a compromis des affaires », a écrit George Chidi.« D'après ce que m'ont dit les employés, le juge Ural Glanville travaille fébrilement en coulisses depuis deux semaines pour gérer le désastre en cours. »

 

LockBit inclut le comté de Fulton, en Géorgie, sur le « mur de la honte » de son site, qui affiche le nom de ses victimes

 

LockBitSupp n'a pas encore prouvé qu'il possède des données concernant l'inculpation de Donald Trump, mais les affaires Gaston, Williams et Trump sont toutes portées devant la Cour supérieure du comté de Fulton.

Allégation : la saisie réalisée par le FBI visait à stopper la fuite de données relatives à Donald Trump

Le Federal Bureau of Investigation des États-Unis cible LockBit depuis des années, et la déclaration d’Europol fait référence à une « infiltration de plusieurs mois » au sein du groupe. L'attaque de LockBit contre le comté de Fulton a été découverte le 27 janvier 2024 et s'est poursuivie pendant des semaines avant que l'opération Cronos ne soit annoncée le 20 février. Le comté de Fulton s'était déjà vu communiquer deux dates limites de versement d'une rançon en rapport avec cette brèche de données. Voici une brève chronologie :

  • Fin janvier : LockBit revendique l'attaque sur le comté de Fulton, qui a détruit nombre de ses systèmes.
  • Début février : les responsables du comté de Fulton reconnaissent cette intrusion.
  • Mi-février : LockBit publie des captures d'écran de documents apparemment légitimes du comté ainsi que des informations sur les serveurs du comté. Le comté est informé qu'il a jusqu'au 16 février 2024 à 05:47:29 UTC pour payer la rançon et empêcher la publication des données volées. Puis, cette publication a été supprimée du site de LockBit sans explication. Les autorités du comté ont par la suite déclaré ne pas avoir payé les hackers.
  • 20 février : les sites Web de LockBit sont saisis, l'opération Cronos est dévoilée, et deux personnes sont arrêtées et inculpées pour leur affiliation à LockBit. LockBitSupp écrit sur X (anciennement Twitter) que « le monde a réalisé le danger trop tard ».
  • 24 février : LockBitSupp annonce que le groupe est à nouveau opérationnel et donne de nouvelles dates limites avec comptes à rebours au comté de Fulton et à d'autres victimes. LockBit indique maintenant que la date butoir pour le comté de Fulton est le 2 mars.

Il est probablement exact que les forces de l'ordre souhaiteraient empêcher la publication de documents confidentiels, notamment ceux liés aux démêlés judiciaires d'un ancien président des États-Unis. Il semble moins probable que ce soit la raison pour laquelle l’opération Cronos a été déclenchée à cette époque. En septembre 2023, des chercheurs ont annoncé que LockBit était responsable d'une attaque sur six contre les instances du gouvernement américain. Les forces de l’ordre et les autorités fédérales auraient-elles attendu si les opérations de LockBit avaient pu être interrompues plus tôt ?

Brian Krebs remet également en cause cette affirmation :

«... si la NCA et le FBI pensaient vraiment que LockBit ne supprimait jamais les données des victimes, ils devaient partir du principe que LockBit conserverait toujours au moins une copie de toutes les données volées dans un endroit sûr. »

Et même @vxunderground rejette cette affirmation :

 

vx-underground sur l'opération Cronos

 

Allégation : les forces de l'ordre ne connaissent pas l'identité de LockBitSupp

Ce texte a été publié sur les serveurs de LockBit après l'annonce de l'opération Cronos :

 

Le FBI prétend connaître l'identité de LockBitSupp

 

Le 23 février, @vxunderground a indiqué que les opérateurs LockBit niaient avoir travaillé avec le FBI et ne pensaient pas que les forces de l'ordre connaissaient leur identité :

 

vx-underground publie la réponse de LockBit aux annonces du FBI concernant l'identité des hackers

 

LockBitSupp affirme également à plusieurs reprises que le FBI a arrêté « des personnes au hasard » et que les forces de l'ordre auraient dévoilé son identité si elles l'avaient connue. KrebsOnSecurity a également contacté LockBitSupp à l'aide des informations ToX Messenger contenues dans sa lettre de réfutation :

Lorsque nous lui avons demandé pourquoi il était si sûr que le FBI ne connaissait pas sa véritable identité, LockBitSupp a précisé :

« Je ne suis pas certain que le FBI ne sait pas qui je suis ; mais je pense qu'ils ne me trouveront jamais. »

L'affirmation du FBI selon laquelle l'agence connaît son identité vise probablement à réduire sa capacité à recruter affiliés et partenaires. Sans affiliés ni infrastructure mise à l'échelle, LockBit ne représente plus la même menace qu'auparavant.

Que faisons-nous maintenant ?

Restez vigilant. Soyez attentif aux évènements tels que les fausses offres de clés de déchiffrement LockBit. Ces offres pourraient être des attaques par hameçonnage via des sites Web, des réseaux sociaux, ou par le biais d'e-mails assortis de pièces jointes malveillantes. D’autres attaques, telles que les publicités Web malveillantes et les téléchargements de type drive-by, peuvent également être utilisées. Suivez les recommandations des forces de l'ordre pour accéder à une clé de déchiffrement LockBit.

Si vous recevez un lien vers des clés de déchiffrement gratuites, des récompenses offertes par le FBI ou tout autre élément inhabituel relatif à LockBit, signalez-le à votre administrateur système. Si vous utilisez Barracuda Email Protection, vous pouvez vous servir du module complémentaire Barracuda Outlook à cet effet.

L'ensemble des individus et des entreprises restent exposés aux attaques de LockBit et d'autres acteurs. Barracuda recommande une approche en trois étapes pour vous protéger contre les ransomwares :

  • Protéger vos identifiants.
  • Sécurisez vos applications.
  • Sauvegardez vos données.

Nous proposons également une plateforme de cybersécurité complète qui protège votre entreprise contre les menaces avancées et les attaques automatisées. 

Pour en savoir plus sur des acteurs malveillants spécifiques et les violations de données, lisez notre blog ici.

 

 

Christine Barry

Christine Barry est Senior Chief Blogger et Social Media Manager chez Barracuda.  Avant de rejoindre Barracuda, Christine a été ingénieure de terrain et chef de projet dans l'éducation et auprès de PME pendant plus de 15 ans. Elle est titulaire de plusieurs diplômes en technologie et en gestion de projet, d'un "Bachelor of Arts" et d'un "Master of Business Administration".Elle est diplômée de l'université du Michigan.

Connectez-vous avec Christine sur LinkedIn.

Billets associés :
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
 Cyber crooks getting younger — and more dangerous
Cyber crooks getting younger — and more dangerous
Lazarus Group: A criminal syndicate with a flag
Lazarus Group: A criminal syndicate with a flag
 Choc du système : le ransomware Storm-0501 migre vers le cloud
Choc du système : le ransomware Storm-0501 migre vers le cloud
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.