LockBit : l’opération Cronos montre que le ransomware ne paie pas pour beaucoup de cybercriminels

Dmitry Yuryevich Khoroshev. C’est le nom de la personne désignée par les autorités de plusieurs pays impliqués dans l’opération Cronos comme opérateur de la franchise mafieuse LockBit 3.0, aussi connue sous le pseudonyme de LockBitSupp.

Ce ressortissant russe de 31 ans, à l’identité bien documentée – y compris par Baptiste Robert de Predica Labs –, fait désormais l’objet d’une récompense pouvant atteindre 10 millions de dollars, de la part du FBI et du ministère américain de la Justice. Outre-Atlantique, il est poursuivi pour 26 chefs d’accusation.

Mais certaines révélations moins tonitruantes de ce mardi 7 mai pourraient provoquer bien des remous dans le landerneau de la cybercriminalité.

Premier enseignement : à qui profite le crime ? Apparemment pas autant de monde qu’il n’y pourrait paraître de prime abord. Selon les forces de police impliquées dans l’opération Cronos, 114 des affidés enregistrés dans l’infrastructure de LockBit avant le lancement de l’opération n’en ont jamais retiré un kopeck. 

Dans le détail, un maximum de 80 affidés semble avoir réussi à retirer des bénéfices pécuniaires de leur engagement avec la franchise.

Mais au total, quelque 7 000 attaques auraient été conduites, entre juin 2022 et février 2024 en profitant de l’infrastructure de LockBit 3.0. Des discussions auraient été engagées avec 47 victimes françaises durant la période, sur un total de 178. 

Ces chiffres, rapportés aux revendications publiées lorsqu’une victime ne paie pas, ainsi qu’aux délais observés pour la publication de certaines revendications, suggèrent que de nombreuses victimes n’ayant pas cédé au chantage n’ont jamais été épinglées sur le site vitrine de la franchise mafieuse. Ce qui tend également à suggérer un taux de succès des attaques – lorsqu’elles débouchent sur un paiement, donc – bien plus limité que de nombreuses estimations – et encore plus sondages – ne le suggéraient jusqu’ici.

Mais il y a peut-être plus important encore : les forces de l’ordre ont envoyé un signal très fort à l’écosystème gravitant autour de LockBit 3.0. Il est simple : « nous vous surveillons ».

Car si, fin février, LockBitSupp s’est attelé à remonter rapidement une infrastructure, les éléments aujourd’hui rendus publics suggèrent que les autorités y avaient accès. Ainsi, selon celles-ci, quelque 69 comptes ont été créés depuis février sur l’infrastructure de la franchise mafieuse. 

Cela confirme que LockBit a su reprendre ses activités et recouvrer la confiance de certains affidés. Mais ceux-ci risquent de prendre assez mal les nouvelles révélations des forces de l’ordre et retirer leur confiance à la franchise. 

Est-ce une bonne nouvelle pour autant pour les victimes récemment épinglées par LockBit 3.0 ? Pas sûr. L’exit-scam d’Alphv, en début d’année a souligné la fluidité des relations entre cybercriminels, l’un d’entre eux passant de la franchise aussi connue sous le nom de BlackCat à une autre, RansomHub. Un scénario comparable n’est pas à exclure.

Et c’est sans compter avec une enseigne comme Snatch, dont le rôle de recycleur et de lessiveuse de données volées est désormais bien établi.

Certains commentaires rageurs à l’encontre de LockBitSupp sont déjà apparus sur des forums fréquentés notamment par les cybercriminels – et les analystes de renseignement sur les menaces. Une demi-surprise alors que le dossier d’accusation américain assure que, dès février, l’intéressé a proposé aux autorités locales de fournir des informations sur… ses concurrents.