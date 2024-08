C’était le 19 février : les forces de l’ordre de plusieurs pays, dont la France, lançaient le volet public d’une importante opération de déstabilisation à l’encontre de la franchise mafieuse LockBit 3.0. Le voile était levé sur l’opération Cronos.

Quelques semaines plus tard, un autre séisme venait secouer la planète ransomware : Alphv (aussi appelé BlackCat) partait avec la caisse, après avoir floué un affidé de sa part d’une rançon de 22 millions de dollars.

C’est face aux répercussions considérables, sur le système de santé américain, de la cyberattaque l’ayant frappé que Change Healthcare aurait décidé de verser cette rançon. Mais ensuite, quels impacts ont eu ces deux évènements sur l’écosystème cybercriminel ?

La question est d’autant plus prégnante que LockBitSupp, l’opérateur de la franchise mafieuse bien connue, s’est attaché très vite à donner l’impression de rebondir, fin février. Fin mars, sa reprise d’activité était confirmée. Mais ce n’était pas suffisant.

Début mai, LockBit se lançait dans nouvelle opération de communication… juste avant que ne soit rendu public l’épisode 2 de la série Cronos. Ce dernier ne l’a d’ailleurs pas refroidi : dans les jours suivants, il a continué de multiplier les revendications, mais rarement fraiches.

Le mois de juin a ensuite été marqué par le silence quasi total de la franchise LockBit 3.0 : seules 11 revendications de victimes sont apparues, le mois dernier, sur son site vitrine, dont 6 se sont avérées se rapporter à des événements antérieurs. En juillet, le retour semble plus marqué.

Ces revendications et leur fraicheur comptent parmi les éléments observables permettant d’estimer l’impact de Cronos et de l’exit-scam de Alphv sur l’écosystème cybercriminel du ransomware. À cela s’ajoutent les revendications croisées.

Ces revendications – ou crossclaims en anglais – témoignent essentiellement d’une cyberattaque conduite par un même acteur utilisant deux bannières pour mener ses activités : les franchises de ransomware sont de plus en plus utilisées comme de simples marques, des écrans de fumée derrière lesquels se cachent les affidés. Récemment, Anastasia Sentsova, analyste chez Analyst1, s’est penchée sur le sujet dans le cadre d’une enquête sur RansomHouse.

Nous nous sommes concentrés sur une période plus restreinte, de janvier 2023 à aujourd’hui en excluant Snatch et Dispossessor, deux usines à recyclage de données volées, et Werewolves, considéré comme un affidé LockBit 3.0.

Des mouvements de fuite de cette franchise mafieuse sont clairement observables, vers un éventail d’enseignes plutôt large (7) et en deux vagues. Certaines revendications suggèrent même que certains pentesters avaient choisi de redonner leur confiance à LockBit entre le premier épisode de Cronos et le second, avant de se raviser.

En termes migratoires observables, l’exit-scam de Alphv semble avoir eu un impact plus important, avec près de 15 victimes revendiquées là pour ensuite réapparaître, sous une autre enseigne, après l’incident. Et c’est LockBit 3.0 qui en a le plus profité, avant l’épisode 2 de Cronos, début mai : les noms de 9 victimes y ont resurgi.

Mais l’activité de LockBit 3.0 semble avoir été nettement affectée par Cronos. En janvier et février, le groupe publie des revendications dont une large majorité se rapporte à des événements inédit survenus durant le mois de revendication.

Et en mars, patatras. Là, le niveau de revendications portant sur des faits inédits récents s’effondre. Il ne se relèvera pas en avril, où même le nombre de revendications datées reculera considérablement.

Début, LockBit 3.0 bombe le torse. Mais la moitié des revendications concerne des faits antérieurs. Il faut attendre juillet pour avoir un début de reprise perceptible, avec des revendications « fraiches » à un niveau supérieur à ceux de mars et avril, mais loin derrière ceux de janvier et février.

Accessoirement, certaines récentes revendications restent comptées comme survenues au cours du mois de publication faute de pouvoir estimer la date de la cyberattaque sur la base des fichiers dérobés : présentés comme entièrement divulgués, certains sont totalement introuvables.

Aujourd’hui, LockBit 3.0 semble être moins que son ombre et remonter la pente semble difficile pour la franchise. Ce qui ne signifie pas que cela ne sera pas fait. Mais l’écosystème cybercriminel apparaît plus fragmenté que jamais. Et reste à savoir si LockBitSupp saura attirer à nouveau sur la base de ses compétences, apparemment réputées, notamment pour la négociation, pour réunifier ce qui a été éparpillé.