LockBit 3.0 : les usurpateurs se multiplient et montent en gamme
Après celui qui s’est attaqué au centre hospitalier de Versailles, un nouvel usurpateur de la franchise LockBit 3.0 vient d’être repéré. Celui-ci a mis en place une vitrine pour revendiquer ses méfaits, avec déjà 6 victimes affichées.
Un nouvel usurpateur de la franchise de ransomware LockBit 3.0 vient d’être repéré. Comme celui qui s’est attaqué à l’hôpital André-Mignot au Chesnay-Rocquencourt, début décembre, il ne propose pas d’interface Web accessible via Tor pour discuter avec ses victimes et, le cas échéant, négocier la rançon demandée : les échanges se font via la messagerie instantanée sécurisée Tox.
Mais le nouvel usurpateur a ses différences. Avec lui, il est également possible de discuter par e-mail. En outre, il ne mentionne pas de montant dans la mal-nommée note de rançon déposée lors du chiffrement. Surtout, il a mis en place une vitrine pour revendiquer ses victimes, copiant partiellement la charte graphique de celle de la franchise LockBit 3.0. Déjà 6 organisations ont été épinglées sur cette vitrine. La plus ancienne remonte au 30 octobre 2022.
Une fuite survenue en septembre
Comment expliquer l’utilisation du ransomware LockBit Black dans des cyberattaques sans que la franchise mafieuse soit impliquée ? En septembre, un « builder » de la franchise a été rendu public. Il s’agit de l’outil permettant de générer, pour une victime donnée, le rançongiciel ainsi que l’outil de déchiffrement associé.
Si ce genre de fuite peut constituer une opportunité pour les chercheurs et analystes, avec notamment la perspective de découverte de failles exploitables pour aider d’éventuelles victimes, c’est également le cas pour les cyberdélinquants.
Très vite, le groupe Bl00dy a commencé à utiliser le générateur de LockBit Black divulgué sur Internet. Quelques jours plus tard, un second s’y mettait, s’appelant « National Hazard Agency ».
Le builder de LockBit 3.0 aurait été divulgué par un ancien développeur de la franchise passablement remonté. Il a affirmé à Azim Khodjibaev, des équipes Talos de Cisco, que les opérateurs de la franchise lui avaient refacturé les 50 000 $ versés à un tiers pour la découverte d’une faille dans le ransomware.