Ransomware : comment la franchise LockBit 2.0 gonfle artificiellement ses chiffres

Quel est le point commun entre Schneider Electric, Volkswind, Continuum Green Energy et Ducab ? Le Danois spécialiste des éoliennes Vestas. Les noms de ces cinq entreprises ont été épinglés sur le site de revendication de la franchise de ransomware LockBit 2.0. Mais il ressort de l’examen des listes de fichiers divulgués que seule l’une de ces entreprises a été effectivement attaquée : Vestas. Des données renvoyant aux quatre autres ont été dérobées par un affidé de LockBit 2.0 lors de la cyberattaque contre le Danois et présentées trompeusement comme retirées d’attaques distinctes.

Un examen plus poussé des revendications associées à la franchise LockBit 2.0 montre que la pratique n’est nouvelle ni isolée. Et la franchise en donne en fait des indices depuis la fin du mois d’août.

Lorsque des données volées à l’occasion d’une cyberattaque sont divulguées, celles-ci sont présentées dans une sorte de navigateur de fichiers. Le nom du premier dossier peut paraître relever du hasard. Pour autant, les noms observés laissent peu de place au doute et, en toute vraisemblance, il ne s’agit ni plus ni moins que du nom de l’hôte sur lequel les données ont été volées dans le système d’information de la victime.

Nous nous sommes ainsi penchés sur les quelques centaines de revendications publiées sur le blog de LockBit 2.0. Au total, plus de 400 attaques lui sont attribuées depuis son apparition au mois de juillet. Nous avons trouvé 4 revendications associées à un hôte appelé bidenloh.

It's clearly that. The names of at least two files mentioned here can be found in the listing of files from the Vestas leak. pic.twitter.com/chEUZcWMvE

— Valéry Rieß-Marchive (@ValeryMarchive) December 10, 2021

Trois revendications renvoient à un hôte appelé DESKTOP-0VOV8CB, mais l’une d’entre elles fait également référence à DESKTOP-HNBO3NI, mentionné dans un total de cinq revendications. Pour l’une d’entre elles, on identifie également DESKTOP-H026S0A, que l’on retrouve dans quatre autres revendications. De quoi suggérer que celles-ci sont toutes liées. Voici donc 11 revendications pour, vraisemblablement, une seule attaque.

On trouve également deux revendications pour l’hôte DESKTOP-CIO9NMN, et autant pour les hôtes DESKTOP-COS4OQ9, DESKTOP-EPIGG54, et DESKTOP-FMGDPSJ, et trois pour l’hôte DESKTOP-Q3KEI33. Six font référence à DESKTOP-IJ9ADIT. Mais l’une d’entre elles renvoie à DESKTOP-TNR6Q6B. De quoi suggérer que l’on a là affaire à 7 revendications pour une seule attaque effective.

Rien moins que 12 revendications renvoient à un hôte nommé s11302146, trois à WIN-03L5077VAQS, huit à WIN-344VU98D3RU, et seize à WIN-8SOTRFOOD96. Au total, il apparaît raisonnable d’estimer que LockBit 2.0 a réalisé au moins 60 attaques en moins que n’ont pu le laisser penser ses revendications.

Pour la franchise LockBit 2.0 et ses affidés, l’intérêt de la manœuvre est double. Tout d’abord la franchise paraît ainsi plus active qu’en réalité – et donc plus attractive pour les cybermalfaiteurs. De la sorte, elle alimente artificiellement une spirale « vertueuse » – dans la perspective de ses opérateurs au moins – pour attirer les attaquants talentueux. En outre, les affidés renforcent au passage la pression exercée sur leur véritable victime.