Ransomware : nouvelle bataille de communication entre LockBit et les autorités

Le 7 mai 2024 à 16h, heure de Paris. C’est le rendez-vous donné par les autorités de plusieurs pays, dans la France, avec la Gendarmerie Nationale, pour de nouvelles révélations sur la franchise mafieuse LockBit 3.0.

À cette fin, les autorités ont relancé le site vitrine de la franchise dont elles avaient pris le contrôle à l’occasion de l’opération Cronos, dévoilée au mois de février. Elles promettent notamment des révélations – très attendues – sur l’identité du porte-parole de la franchise, LockBitSupp, mais également sur des affidés.

Bravaches, les opérateurs de la franchise semblent avoir toutefois décidé de jouer le bras de fer sur le terrain, au moins, de la communication. 

En ce lundi 6 mai, ils ont ainsi multiplié les publications de revendications sur les sites vitrines remontés dans la foulée de l’opération Cronos. À l’heure où sont écrites ces lignes, on en compte plus de 60. De quoi rappeler la manière dont la franchise avait très vite mis en scène un rebond, fin février.

Les similitudes sont d’ailleurs troublantes : comme plusieurs observateurs n’ont pas manqué de le relever, une large partie des nombreuses revendications publiées ce lundi 6 mai sur les sites vitrine de LockBit 3.0 avaient déjà été publiées avant l’opération Cronos, pour beaucoup entre décembre 2023 et début février 2024. D’autres sont encore plus anciennes, comme la revendication d’attaque contre Ile-de-France Nature, déjà publiée en août 2023, et confirmée.

Cela ne vaut toutefois pas pour toutes, sans que cela ne signifie qu’elles se rapportent à des cyberattaques récentes : jusqu’à tout récemment, la franchise mafieuse n’a pas hésité à publier des revendications correspondant à des attaques survenues avant l’opération Cronos. Pour une victime revendiquée fin mars, les dates de création de fichiers et de dossiers suggéraient, par exemple, que l’attaque était en fait survenue fin janvier. Cette pratique a déjà pu être documentée début mars.

Depuis, le croisement de revendications de victimes et d’articles de presse a permis d’établir que les activités de LockBit 3.0 ont effectivement repris. Deux victimes le confirment sans ambiguïté : le Sud-Africain Nampak et l’Indien Polycab.

Le premier – coté en bourse – a annoncé à ses actionnaires, mardi 26 mars, être victime d’une cyberattaque. Le second – également coté en bourse – a fourni à ses actionnaires une information de la même nature une semaine plus tôt. 

Mais alors, comment expliquer que LockBit 3.0 a repris la publication de revendications de cyberattaques antérieures à l’opération Cronos ? Peut-on s’attendre à ce que cela vaille pour plus que les seules revendications ouvertement identifiées comme recyclées en ce 6 mai ? 

Vraisemblement, oui, pour la seconde question. Ainsi, LockBit 3.0 vient de revendiquer, pour la première fois, une cyberattaque avec rançongiciel contre la ville française de Bouchemaine, dans le département de Maine-et-Loire. Un article de nos confrères de Ouest France, indique qu’un tel incident est survenu dans le week-end des 17 et 18 juin 2023.

La réponse à la première question est en suspens. Mais il n’est pas à exclure que les opérateurs de la franchise de ransomware aient réussi à regagner la confiance d’au moins un affidé initialement échaudé par l’opération Cronos. La question est ainsi toujours de savoir combien d’affidés font encore (ou à nouveau) confiance à LockBit.