Auteur Sujet: Le groupe ransomware Lockbit en grande partie démantelé (Lu 520 fois)

alain_p · « **le:** 21 février 2024 à 08:02:18 »

On a appris hier que l'infamous groupe de ransomware lockbit, bien connu pour ses nombreuses attaques en particulier d'hôpitaux, avait été en grande partie démantelé par une coopération internationale d'une dizaine de pays, appelée opération cronos, menée semble-t-il par la NCA anglaise (National Crime Agency).
Une vingtaine de sites command and control du gang ont été infiltrés et mis hors d'état de nuire et deux membres du groupe arrêtés.

Des outils de déchiffrement ont semble-t-il aussi été mis des sites victimes d'attaques pour déchiffrer leurs données.

Il y a gros à parier que d'autres malheureusement prendront la relève. Mais c'est quand même un beau succès de coopération internationale contre les groupes de ransomwares.

Voir par exemple FranceInfo :

Citer

Cyberattaques : ce que l'on sait du coup de filet international contre LockBit, l'un des groupes de hackers les plus dangereux du monde

Article rédigé par Luc Chagnon - France Télévisions - Publié le 20/02/2024 13:27 Mis à jour le 20/02/2024 13:41

Le groupe de pirates informatiques, spécialisé dans le vol de données avec demandes de rançon, a été visé par une opération conjointe de dix pays, dont la France. Deux membres ont été interpellés et de nombreuses données ont été saisies.

Un coup dur pour l'un des gangs de hackers les plus dangereux de la planète. Le groupe LockBit, responsable de plusieurs centaines de piratages de grande ampleur en France et dans le monde, a été la cible d'une opération de police internationale qui a conduit à la saisie de plusieurs sites du groupe sur le dark web, lundi 19 février.

Cette opération, menée conjointement par les enquêteurs de plusieurs pays dont la France, a également permis l'arrestation de deux de ses membres et l'obtention de nombreuses données. Voici ce que l'on sait de cette offensive.

Le groupe de pirates le plus actif au monde

LockBit est un groupe de pirates informatiques russophone, qui a conçu plusieurs générations de rançongiciels (ou "ransomware") du même nom. Ces logiciels malveillants permettent de chiffrer les données présentes sur les appareils d'un réseau, ce qui les rend illisibles à moins de disposer d'un code spécifique – que LockBit ne prétend fournir qu'en échange d'une rançon. Si la victime ne paye pas, les pirates menacent de publier ou de revendre les données.

En novembre 2022, les Etats-Unis avaient affirmé que le rançongiciel LockBit était le "plus actif et plus destructeur des variants dans le monde". Rien qu'aux Etats-Unis, le groupe a mené plus de 1 700 attaques depuis 2020 pour près de 91 millions de dollars de rançons au total, selon une agence américaine. Contrairement à d'autres groupes, LockBit est devenu une véritable entreprise, qui vend ses services à d'autres pirates en échange d'un pourcentage.

En France, LockBit a été impliqué dans plus de 200 attaques selon le parquet de Paris, par exemple contre l'hôpital de Corbeil-Essonnes (Essonne) en octobre 2022 pour réclamer un million de dollars de rançon, contre La Poste Mobile en juillet de la même année ou encore contre le groupe Voyageurs du monde en juin 2023. L'un de ses rançongiciels, utilisé par d'autres groupes malveillants, a pu être utilisé dans l'attaque informatique subie par l'hôpital d'Armentières (Nord) le 10 février, comme l'explique sur X Valéry Rieß-Marchive, rédacteur en chef du site spécialisé LeMagIT.

Une action conjointe de dix pays

Une vingtaine de sites connus du groupe sur le dark web ont été mis hors ligne ou réquisitionnés dans la nuit du lundi 19 au mardi 20 février, selon le compte spécialisé en cybersécurité vx-underground sur X. L'équipe de LockBit a confirmé la saisie de ces sites par le FBI, selon le site spécialisé Zataz.

Ces pages ont toutes été remplacées par le même message en anglais, annonçant que "ce site est maintenant sous contrôle de la police". Cette saisie a été permise grâce à l'action conjointe de 10 pays membres de l'"opération Cronos", dont les Etats-Unis, le Royaume-Uni ou la France, l'Allemagne ou le Japon.

Dans un communiqué publié mardi à midi, Europol explique avoir "perturbé les opérations criminelles de LockBit à tous les niveaux, endommageant sévèrement leur capacité et crédibilité". L'organisation de police internationale décrit une "opération longue de plusieurs mois", qui a permis la mise hors service de 34 serveurs dans plusieurs pays.

Les autorités britanniques précisent dans un communiqué avoir obtenu le code source de la plateforme LockBit, ainsi que de nombreux renseignements sur les capacités du groupe. Elles ont également pris le contrôle de l'environnement permettant aux affiliés de LockBit de perpétrer leurs attaques, ainsi que du "mur de la honte" sur lequel les pirates publient les noms de leurs victimes, entre autres.

Deux "acteurs" du groupe ont été arrêtés "à la demande des autorités judiciaires françaises", selon Europol, qui précise que deux mandats d'arrêt internationaux et cinq mises en examen ont également été prononcées par les autorités françaises et américaines. Plus de 200 portefeuilles de cryptomonnaies liés à LockBit ont également été gelés, selon Europol.

Pour aider les victimes de LockBit, les autorités des pays impliqués dans l'opération ont également mis à disposition des outils de déchiffrage pour récupérer les donnés corrompues par les attaques. Ils sont disponibles gratuitement sur le portail No More Ransom.

Des pirates durement touchés, mais pas encore coulés

La saisie des sites de LockBit porte un coup extrêmement sévère aux opérations du groupe. Ces pages lui servaient à afficher les noms des victimes, à réclamer les rançons mais aussi à publier les données volées. Les données obtenues par les autorités pour déchiffrer celles qui ont été corrompues réduisent également les conséquences des attaques déjà commises et de celles à venir.

Sur l'un de ses canaux de communication, LockBit affirme cependant détenir des serveurs de rechange qui n'ont pas été touchés par l'opération, selon vx-underground sur X. Mais le supplice n'est pas fini pour le groupe : les autorités ont détourné le "mur de la honte" de LockBit pour annoncer que des informations supplémentaires seraient dévoilées tout au long de la semaine.

https://www.francetvinfo.fr/internet/securite-sur-internet/cyberattaques/cyberattaques-ce-que-l-on-sait-de-l-operation-internationale-contre-le-groupe-lockbit-l-un-des-gangs-de-hackers-les-plus-dangereux-du-monde_6377464.html
https://twitter.com/Cyber_Veille/status/1759905287111123269

rooot · « **Réponse #1 le:** 01 mars 2024 à 16:35:47 »

tiens je viens de voir que LDLC se serait fait hacké sa base de données aussi...https://www.tomsguide.fr/ldlc-pirate-les-donnees-de-15-million-de-clients-seraient-en-vente-sur-le-dark-web/

titides · « **Réponse #2 le:** 01 mars 2024 à 17:11:05 »

Imagine si certains profitent d'être sur une plage des Bahamas en lisant l'article

trekker92 · « **Réponse #3 le:** 01 mars 2024 à 17:18:28 »

Citation de: titides le 01 mars 2024 à 17:11:05

Imagine si certains profitent d'être sur une plage des Bahamas en lisant l'article

dépend de qui fréquente la plage

Citer

Le clap de fin pour cette organisation cybercriminelle aux allures d’hydre ? « Les têtes pensantes sont encore dans la nature dont un dirigeant qui est totalement hors d’atteinte pour les polices du monde entier », soupire une source proche de l’enquête.
https://www.leparisien.fr/high-tech/operation-cronos-le-coup-de-maitre-des-cybergendarmes-pour-mettre-hors-ligne-les-hackers-de-lockbit-3-20-02-2024-DLWEQZBEMVAZNCMFVHXHOKWASM.php

titides · « **Réponse #4 le:** 01 mars 2024 à 17:28:22 »

Il manque plus que des armes de destruction massive, et c'est bon pour les américains

alain_p · « **Réponse #5 le:** 01 mars 2024 à 17:40:59 »

Bon après, il ne s'agit pas d'un ransomware, ni du groupe lockbit. Dans ce cas, il s'agit du groupe Epsilon :

Citer

Le groupe de pirates Epsilon Group a d’ores et déjà revendiqué l’attaque

trekker92 · « **Réponse #6 le:** 01 mars 2024 à 18:03:49 »

Citation de: alain_p le 21 février 2024 à 08:02:18

https://www.francetvinfo.fr/internet/securite-sur-internet/cyberattaques/cyberattaques-ce-que-l-on-sait-de-l-operation-internationale-contre-le-groupe-lockbit-l-un-des-gangs-de-hackers-les-plus-dangereux-du-monde_6377464.html
https://twitter.com/Cyber_Veille/status/1759905287111123269

n'empeche que dans ces "opérations" il y a toujours un certain nombre de polices européennes, en plus des américaines

je m'interroge sur la présence des petits pays, souvent "du sud", voire meme des paradis fiscaux, de l'implication de leur police locale pour geler des comptes ou débrancher des serveurs...

ca avait fini comment l'affaire dotcom, déjà?

alain_p · « **Réponse #7 le:** **Hier** à 22:43:35 »

Le nom du leader du groupe Lockbot révélé : Dmitry Yuryevich Khoroshev

Le nom du leader du groupe locklbit, qui se faisait appeler LocbiBitSupp, a donc été révélé par la NCA, la National Crime Agency. Des sanctions contre lui ont été rendues publiques par différents Etats, dont la Grande Bretagne, les Etats-Unis, l'Australie... C'est une suite de l'opération Cronos qui avait permis de démanteler une partie des infrastructures du gang. Il aurait reçu en particulier au moins deux fois des montants de 100 millions de dollars comme paiement de ses activités mafieuses, en Juin 2022 et Décembre 2023. Il avait, parait-il, du mal à blanchir les sommes reçues (en bitcoin on imagine).

Il a tout du coupable idéal, car c'est un citoyen russe, vivant à 500 km à l'Est de Moscou, parait-il dans un appartement ordinaire. Une récompense de 10 millions de dollars a été promise pour sa capture.

Voir par exemple 01.Net :

Ransomware : le leader de Lockbit a été démasqué

8 mai 2024 à 11:28 - Florian Bayard

Le cerveau de Lockbit a été démasqué. Les autorités britanniques viennent en effet de révéler l’identité du cybercriminel à la tête du plus important gang de ransomware au monde.

Plus de deux mois après l’opération Cronos, qui a mis à terre une partie de l’infrastructure du gang, les autorités britanniques ont révélé le visage du leader de Lockbit. Dans un communiqué publié ce mardi 7 mai 2024, la National Crime Agency, l’agence nationale de lutte contre la criminalité du Royaume-Uni, a en effet dévoilé une série d’informations sur LockBitSupp, le grand chef des cybercriminels.

Qui est le chef de Lockbit ?

Derrière le pseudonyme de LockBitSupp se cache Dmitry Yuryevich Khoroshev. D’après la NCA, « l’administrateur et développeur du groupe » est un ressortissant russe âgé de 31 ans. L’homme réside dans « un appartement ordinaire » à « 500km au sud de Moscou », rapporte l’expert en cybersécurité Mr SaxX sur son compte X. Le chercheur, très actif sur le réseau social, indique avoir « essayé de rassembler les nombreuses informations qui viennent de partout de la communauté ». Grâce aux opérations menées par Lockbit, le cybercriminel aurait gagné 100 millions de dollars. En dépit de sa fortune, le pirate aurait un train de vie relativement modeste, poursuit Mr SaxX. En fait, Khoroshev aurait beaucoup de mal à blanchir l’argent récolté. De son côté, l’expert Baptise Robert a réalisé une vaste enquête sur les informations disponibles en ligne sur le hacker. Il a notamment déniché sa ville de résidence et son numéro de téléphone.

https://twitter.com/_SaxX_/status/1788101379283644881

Résidant en Russie, le pirate est à l’abri des autorités internationales. La Russie refuse en effet de coopérer avec les polices étrangères et d’extrader un de ses ressortissants. Les forces de l’ordre ont néanmoins annoncé une batterie de sanctions à l’encontre du cybercriminel, qui a jusqu’ici « prospéré dans l’anonymat ».

Les autorités ont en effet gelé une partie des avoirs de Dmitry Yuryevich Khoroshev. Celui-ci est désormais interdit de voyager aux États-Unis, au Royaume-Uni et en Australie. Tous les actifs de Khoroshev dans ces pays ont été saisis. Ces sanctions interdisent à une entreprise américaine, britannique ou australienne de verser une rançon à Lockbit. En cas d’infraction, l’entreprise risque une amende de la part de son gouvernement. La sanction devrait donc dissuader les futures victimes potentielles de Lockbit de coopérer.

Par ailleurs, les États-Unis offrent 10 millions de dollars à toute personne qui donnera des informations menant à la capture du cybercriminel. Ironie du sort, LockBitSupp s’est longtemps vanté de son anonymat. Le pirate offrait d’ailleurs « 10 millions de dollars à quiconque pourrait révéler son identité ».

« Ces sanctions sont extrêmement importantes et montrent qu’il n’y a pas de cachette pour les cybercriminels comme Dmitry Khoroshev, qui font des ravages à travers le monde. Il était certain de pouvoir rester anonyme, mais il avait tort », déclare Graeme Biggar, le directeur général de la NCA.

Lockbit, un gang affaibli ?

En dépit des dégâts causés par l’opération Cronos, les pirates de Lockbit ont orchestré une foule de cyberattaques au cours des dernières semaines. Armés de leur ransomware, les hackers se sont notamment attaqués à l’hôpital de Cannes. L’établissement a refusé de payer la rançon exigée par les pirates. En guise de représailles, ceux-ci ont divulgué 61 gigaoctets de données confidentielles, dont des dossiers médicaux, sur le dark web.

C’est en réaction à cette résurgence des attaques que les forces de police britanniques ont décidé d’accentuer la pression sur Lockbit en dévoilant l’identité de son leader. D’après la NCA, le gang reste néanmoins considérablement affaibli par les dégâts causés par l’opération Cronos. Malgré des tentatives de reconstruction, Lockbit fonctionne « actuellement à une capacité limitée », avance la NCA.

L’agence assure que « le nombre moyen d’attaques mensuelles » orchestrées par Lockbit a baissé de 73 % au Royaume-Uni depuis l’offensive, n’en déplaise au gang. Dans son communiqué, l’agence britannique accuse Lockbit d’avoir voulu diminuer l’impact de l’opération Cronos en recensant « des victimes ciblées avant que la NCA ne prenne le contrôle de ses services ». Sur son site sur le dark web, le gang a en effet répertorié plusieurs attaques qui datent d’avant l’opération de police pour donner le change.

« L’annonce d’aujourd’hui plante un autre gros clou dans le cercueil de Lockbit et notre enquête se poursuit. Nous ciblons désormais les entités affiliées qui ont utilisé les services Lockbit pour infliger des attaques de ransomware dévastatrices contre des écoles, des hôpitaux et de grandes entreprises du monde entier », détaille la NCA, soucieuse de mettre la pression sur les pirates qui se servent du malware pour extorquer des fonds.

Après avoir démasqué la tête pensante de Lockbit, les enquêteurs vont désormais se concentrer sur les affiliés du gang. Ces pirates paient un abonnement pour pouvoir utiliser le virus Lockbit 3.0 dans leurs cyberattaques. Échaudés par les assauts des forces de police, les cybercriminels vont-ils se distancier de Lockbit ?

https://www.01net.com/actualites/ransomware-leader-lockbit-demasque.html
https://www.nationalcrimeagency.gov.uk/news/lockbit-leader-unmasked-and-sanctioned

Le communiqué de la NCA révèle 6 autres noms :

With the latest indictment, a total of six members affiliated with the LockBit conspiracy have been charged, including Mikhail Vasiliev, Mikhail Matveev, Ruslan Magomedovich Astamirov, Artur Sungatov and Ivan Gennadievich Kondratiev.

xp25 · « **Réponse #8 le:** **Hier** à 22:58:55 »

Dans le temps, la société recrutait ces gens souvent dans des situations modestes (d'où l'appât du gain) et leur offrait un avenir radieux au service de la communauté du bien.

Le monde change et pas forcément dans le bon sens !