LockBit : le grand retour des usurpateurs ?

Ce jeudi 22 février, l’annonce fait l’effet d’un coup de tonnerre : Sophos indique avoir observé l’exploitation des récentes vulnérabilités affectant ScreenConnect de ConnectWise, dans le cadre de cyberattaques débouchant sur le déclenchement du ransomware LockBit. 

Sur X (ex-Twitter), l’éditeur laisse planer le doute : « malgré l’opération de répression contre LockBit, il semble que certains affidés soient toujours en activité ». 

Il faudra attendre ce vendredi 23 février pour que Sophos réponde à la question qui brûle les lèvres de tous les observateurs attentifs : le rançongiciel observé est-il issu des derniers outils de la franchise mafieuse, malgré l’opération de police internationale Cronos, ou bien du builder rendu public en 2022 ?

Dans un communiqué, Sophos se fait finalement explicite : « nous avons observé plusieurs attaques au cours des 24 heures précédentes qui semblaient être menées avec le ransomware LockBit, construit à l’aide d’un outil de création de logiciels malveillants qui a fait l’objet d’une fuite ».

Plus loin, l’éditeur insiste : « l’exécutable en question a été créé à l’aide de l’outil de création de ransomware LockBit 3 qui a fait l’objet d’une fuite en 2022, de sorte que cet échantillon particulier ne provient peut-être pas des développeurs de LockBit ».

Sophos précise par ailleurs utiliser une règle de détection spécifique pour les échantillons de LockBit produits avec ce builder et ajoute que celui tout récemment observé « ne s’appelle pas lui-même LockBit », mais « buhtiRansom ».

En septembre 2022, un builder de la franchise LockBit 3.0 a été rendu public. Il s’agit de l’outil permettant de générer, pour une victime donnée, le rançongiciel ainsi que l’outil de déchiffrement associé.

Il aurait été divulgué par un ancien développeur de la franchise passablement remonté. À l’époque, celui-ci a affirmé à Azim Khodjibaev, des équipes Talos de Cisco, que les opérateurs de la franchise lui avaient refacturé les 50 000 $ versés à un tiers pour la découverte d’une faille dans le ransomware.

La marque de l’emploi de ce builder avait été observée lors de la cyberattaque menée contre le centre hospitalier de Versailles, fin 2022. 

La note de rançon déposée sous forme de fichier texte sur les machines compromises peut être personnalisée à la génération du ransomware LockBit, mais pas celle qui est imprimée.

Et justement, la note sortie des imprimantes de l’hôpital André Mignot comportait deux adresses de sites directement accessibles sur le Web, sans passer par Tor. Mais les noms de domaine correspondants, en .uz, ne sont pas utilisés depuis la fin mars 2022.

La même marque a été constatée lors de la récente cyberattaque contre le centre hospitalier d’Armentières, trahissant l’utilisation dudit builder.

Si une telle constatation ne permet pas d’affirmer de manière définitive qu’aucune personne associée à la franchise LockBit n’est impliquée, elle ne permet assurément pas d’attribuer fermement l’attaque à cette dernière. Et encore moins de semer le doute sur les effets immédiats de l’opération Cronos.