Ransomware : les activités de la franchise LockBit 3.0 ont repris

Pas question de baisser les bras. Durant les premières semaines ayant suivi la retentissante opération Cronos, les opérateurs de la franchise mafieuse LockBit 3.0 se sont attachés à entretenir une illusion de continuité de leurs activités. Mais la reprise est désormais bien réelle.

Autour de 22h, dans la soirée de ce 19 février, la nouvelle est tombée : le site vitrine de LockBit 3.0 et ses miroirs n’étaient plus accessibles, ainsi que le portail servant aux négociations. A la place, une image, avec un message : « ce site est maintenant sous le contrôle des forces de l’ordre ». C’était la marque de l’opération Cronos. 

Sans perdre de temps, les opérateurs de la franchise ont cherché à rebondir. Provocateur, LockBitSupp – le porte-parole de la franchise – est allé jusqu’à estimer que « les actions du FBI visent à détruire la réputation de mon programme d’affiliation, ma démoralisation [sic], ils veulent que je parte et que je quitte mon travail, ils veulent me faire peur parce qu’ils ne peuvent pas me trouver et m’éliminer, on ne peut pas m’arrêter, on ne peut même pas espérer ».

Les opérateurs de la franchise ont remonté des sites vitrines et épinglé des victimes. Mais celles-ci n’avaient rien de nouveau. L’opérateur assurait disposer des données de « nombreuses » victimes, promettant qu’elles seraient publiées sur ceux-ci.

Pour l’essentiel des revendications publiées, LockBitSupp invitait à négocier via la messagerie chiffrée Tox, laissant suspecter la perte des identifiants uniques associés aux victimes correspondantes ainsi qu’aux clés de chiffrement. 

Le 7 mars dernier, 63 revendications figuraient sur le site vitrine de la franchise LockBit 3.0. Trois d’entre elles avaient été publiées initialement… en 2022, et 31 en 2023. Sept avaient été publiées pour la première fois en 2024, avant l’opération spectaculaire du 19 février. Ce qui en laissait 22 pour lesquelles un doute pouvait subsister. Mais il fut rapidement levé.

Las, il ne fait pas de doute que les affaires de la franchise mafieuse ont aujourd’hui bel et bien repris. Parmi les victimes récemment épinglées sur le site vitrine de LockBit 3.0, deux le confirment sans ambiguïté : le Sud-Africain Nampak et l’Indien Polycab.

Le premier, coté en bourse, a annoncé à ses actionnaires, mardi 26 mars, être victime d’une cyberattaque. Le second, également coté en bourse, a fourni à ses actionnaires une information de la même nature une semaine plus tôt. 

Une question reste toutefois entière : la franchise a-t-elle réussi à conserver, ou regagner la confiance d’affidés échaudés par l’opération Cronos ? L’avenir le dira.