LockBit : comment la franchise essaie de mettre en scène un retour

63 revendications publiées sur sa nouvelle vitrine depuis le 19 février au soir : c’est ainsi que les opérateurs de LockBit 3.0 essaient de convaincre que leur franchise mafieuse a pu rapidement rebondir après la retentissante opération Cronos. 

Le 26 février, les données historiques de ransomware.live montraient déjà une forte propension à la réutilisation de données acquises antérieurement à l’opération des forces de l’ordre. Le porte-parole de la franchise, LockBitSupp, assurait d’ailleurs, peu avant, disposer des données de « nombreuses » victimes, promettant qu’elles seraient « publiées ultérieurement dans un nouveau blog ». Mais depuis, rien ne permet d’affirmer que les revendications publiées sur le site vitrine de la franchise correspondent à des attaques postérieures à cette opération.

À l’heure où sont publiées ces lignes, 63 revendications figurent sur le site vitrine de la franchise LockBit 3.0. Trois d’entre elles ont été publiées initialement… en 2022, et 31 en 2023. Sept ont été publiées pour la première fois en 2024, avant l’opération spectaculaire du 19 février. Ce qui en laisse 22 pour lesquelles un doute peut subsister.

Pour 5 de ces revendications, les opérateurs de la franchise mafieuse LockBit invitent à négocier via la messagerie chiffrée Tox, laissant suspecter la perte des identifiants uniques associés aux victimes correspondantes ainsi qu’aux clés de chiffrement. 

Pour 7 autres victimes, les données dérobées lors de la cyberattaque sont déjà publiées, ce qui laisse encore suspecter que les offensives sont antérieures au 19 février. En outre, les dates de création des dossiers figurant dans les listes de fichiers divulgués renvoient à 2023.

Restent donc 10 revendications qui pourraient concerner des attaques postérieures. Pour l’une d’entre elles (publiée le 5 mars), le doute est rapidement levé. Cette revendication concerne l’école primaire de Monmouth, dans l’Orégon, aux États-Unis. Et justement, la presse locale a rapporté, le 8 février, un incident significatif : les cours ont été annulés pour toute la semaine, à la suite de la détection d’une « activité inhabituelle dans le réseau ». 

Cette détection est survenue la veille, le 7 février et ladite activité a rendu « certains systèmes et données temporairement inaccessibles », précise le site Google de l’école en question. Le 23 février, c’est confirmé : il s’agit d’une cyberattaque conduite avec un rançongiciel et impliquant la franchise LockBit.

Les données de combien d’affidés ?

Les données divulguées par la franchise LockBit 3.0 ne semblent pas être issues de cyberattaques conduites par un très grand nombre d’affidés. Les listes de fichiers fournissent là quelques indications. 

Cinq d’entre elles mentionnent un numéro de série de volume de disque dur, le même à chaque fois : 0206-654D. Pour trois des victimes correspondantes, les revendications ont été publiées les 11 et 12 novembre derniers. Mais les dates de création des dossiers figurant dans les listes de fichiers suggèrent que les attaques sont survenues entre fin septembre et fin octobre 2023. Pour les deux autres, revendiquées le 2 mars 2024, ces dates renvoient au 28 octobre et au 8 novembre derniers.

Le formatage de ces listes de fichiers, le type d’archive utilisé, et l’arborescence donnent également quelques indices additionnels : tout le monde a ses habitudes et ses outils préférés. Là, on observe 5 combinaisons différentes, suggérant autant d’affidés – individuels ou en groupes – différents.

Les données actuellement divulguées sur l’infrastructure de partage de fichiers de LockBit ne recouvrent ni celles qui étaient, avec la précédente, directement accessibles depuis la revendication avec un navigateur de fichiers en interface Web ni celles qui étaient hébergées sur une infrastructure dissociée. 

Le navigateur de fichiers en interface Web fournissait des indications sur l’infrastructure d’exfiltration de données utilisée en conjonction de l’outil dédié de LockBit, StealBit. Là, outre les exfiltrations réalisées directement depuis le système d’information de la victime vers l’infrastructure de LockBit, on pouvait compter, à l’automne dernier, 5 noms de machines différents. Deux noms de domaine pointant vers la même adresse IP ont également été utilisés pour stocker des données de victimes. De quoi suggérer qu’une douzaine d’affidés étaient effectivement actifs avant l’opération du 19 février. 

La question est, bien sûr, de savoir si certains font encore confiance à LockBit et combien. Et rien ne dit (à ce stade) que ceux ayant volé des données – aujourd’hui divulguées par la franchise afin de paraître active – comptent parmi ces fidèles.