Actions contre LockBit : on est loin du but, selon les fournisseurs de solutions de sécurité

Pour les spécialistes sécurité, les attaques devraient reprendre

Les actions internationales menées contre l’infrastructure informatique du gang de ransomware LockBit sont une bonne chose mais on reste loin du compte. Les vrais coupables ne sont toujours pas arrêtés et l’hydre selon toute probabilité devrait ressurgir.



Impunité des réels responsables et l’importance des crypto-monnaies

C’est la tendance des réactions de spécialistes, travaillant pour des fournisseurs de solutions de sécurité, à la suite de l’annonce d’Europol sur les résultats d’une offensive contre les voyous de LockBit. Ils prennent la parole au nom des sociétés Harfanglab, Rubrik, Netwrix, Netskope, Kaspersky et LockSelf.


Si on peut penser que ces spécialistes prêchent pour leur paroisse et la vente de leurs prestations, ils tapent juste quand ils rappellent la résurgence fréquente des organisations criminelles, l’impunité des réels responsables derrière les ransomwares, la pérennité des codes malveillants et la motivation pour le profit grâce aux crypto-monnaies afin de faire fonctionner cette économie du vol, du chantage et de la destruction.

« De nombreux affiliés pourront continuer à exercer dans le monde du ransomware, pourquoi pas avec d’autres malwares en attendant la reconstruction de LockBit« 

« Il ne faut pas minimiser cette opération coup de poing, mais malheureusement, il faut malgré tout rester prudents car nous avons vu par le passé de nombreux cas où les groupes trouvent le moyen de revenir, de restructurer leur architecture, et finalement de continuer à œuvrer » prévient Ivan Kwiatkowski, chercheur en cybersécurité chez Harfanglab. Les vraies têtes pensantes derrière LockBit sont toujours dans la nature et devraient le rester. «  Si certains acteurs ont été arrêtés dans le cadre de cette opération, il semble peu probable que l’intégralité des responsables ou acteurs de LockBit soient interpelés, ce qui signifie que de nombreux affiliés pourront continuer à exercer dans le monde du ransomware, pourquoi pas pour d’autres groupes, avec d’autres malwares, en attendant la reconstruction de l’infrastructure de LockBit » craint-il.

A court terme, l’opération menée contre LockBit apportera toutefois un répit. « La saisie des infrastructures risque de ralentir les opérations du gang pendant quelques temps, mais il y a fort à parier qu’un certain nombre d’acteurs disposent encore des codes sources des malwares du groupe et trouvent le moyen de reconstruire leur écosystème » pense-t-il. Europol indique avoir capturé beaucoup d’informations qu’il reste à exploiter et gelé 200 comptes de crypto-monnaies.  Cela doit pouvoir aider les victimes de LockBit. « On peut espérer, en termes de résultats positifs que dans la saisie de cette infrastructure, les forces de l’ordre auront accès à certaines clés de déchiffrement, ou à certaines rançons, pas encore récupérées qui pourraient permettre aux victimes de recouvrer leurs données, ou leur argent » souhaite-t-il.

Ne pas sous estimer la capacité d’adaptation des voyous du web

De même, Richard Cassidy, RSSI chez Rubrik estime que le combat continue contre les voyous du Web. « La guerre est loin d’être terminée. Même si les opérations de LockBit ont été affectées pour une période à déterminer, il ne faut pas sous-estimer leur capacité d’adaptation. Ces groupes ont toujours fait preuve d’une remarquable capacité à s’adapter aux actions des forces de l’ordre, à faire évoluer leurs tactiques et à poursuivre leurs opérations, parfois sous une nouvelle forme » estime-t-il.

« Nous avons vu la résilience des groupes de ransomware perturbés par les forces de l’ordre dans le passé« 

Richard Cassidy cite des gangs qui ont renait de leurs cendres. « Nous avons vu la résilience des groupes de ransomware perturbés par les forces de l’ordre dans le passé, par exemple Hive, ALPHV/BlackCat, et l’évolution de DarkSide à BlackMatter, démontrant la capacité des groupes cybercriminels à rebondir, à changer de nom et à s’intégrer dans des réseaux nouveaux ou existants, en s’appuyant sur l’écosystème des ransomwares en-tant-que-service » liste-t-il.

Il pointe la puissance financière du groupe LockBit, ce qui pourrait être un levier d’action majeur.  « On peut se demander si les ressources financières des groupes tels que LockBit n’ont pas une portée plus large que celle des équipes chargées de les démanteler » remarque-t-il. LockBit disposerait d’un trésor de guerre imporntant.  « Lockbit est extrêmement bien financé par le succès de ses opérations, ayant amassé environ 91 millions de dollars rien qu’auprès d’organisations américaines. Ils ont donc le pouvoir économique de se regrouper et de développer de nouvelles tactiques, techniques et procédures, en apprenant et en s’adaptant aux erreurs qui ont conduit à leur perturbation, réinventant ainsi leur approche, si nécessaire » prédit-il.

Les causes des attaques par ransomware demeurent inchangées

Pour lui, il existe un problème plus large que le cycle actuel où on applique la loi, ce qui perturbe les groupes de ransomware avant que ceux-ci ne réapparaissent. « Il s’agit fondamentalement des causes des attaques par ransomware, telles que les incitations financières, l’anonymat relatif des transactions en crypto-monnaie et la découverte incessante de vulnérabilités qui n’ont pas encore été corrigées » présente-t-il. Quoiqu’il en soit, il est clair pour lui que les attaques par ransomware vont reprendre. « En attendant, nous pouvons nous attendre à ce que le cycle de perturbation et de résurgence se poursuive dans un avenir prévisible » annonce-t-il.

« L’opération a pénétré profondément dans le réseau derrière le groupe et a tenté de déraciner une grande partie, voire tous les éléments de sa supply chain »

Dirk Schrader, Resident CISO (EMEA) et Vice Président of Security Research chez Netwrix, veut se montrer plus optimiste et souligne les progrès réalisés dans la lutte contre les gangs de ransomware.  « Cette opération de démantèlement de LockBit semble avoir intégré certaines leçons tirées d’opérations passées. L’opération a pénétré profondément dans le réseau derrière le groupe et a tenté de déraciner une grande partie, voire tous les éléments de sa supply chain, comme l’indiquent les notes laissées aux cybercriminels qui se connectent à la plateforme » se félicite-t-il. « Cette approche augmente les chances que LockBit ne refasse pas surface, contrairement à d’autres plateformes de ransomware récentes, comme Trickbot et ALPHV. Cependant, cela reste à être confirmé » reconnaît-il.

Dirk Schrader s’inquiète des autres gangs qui existent. « La saisie des crypto-monnaies et l’arrestation de deux individus sont un signe d’efficacité. Mais il existe encore de nombreux autres gangs, et il demeure encore beaucoup d’incohérences entre les pays en ce qui concerne la cybercriminalité, et il y a toujours de l’argent en jeu » dit-il.

Il souhaite que les entreprises poursuivent leurs efforts de protection de leurs données. « Les entreprises ne doivent pas réduire leurs efforts pour protéger leurs données, leurs identités et leurs infrastructures. De plus, mieux vaut prévenir que guérir. Il faut ainsi veiller à ce que les comptes soient protégés à l’aide de la MFA [Authentification multi facteurs], que les privilèges soient réduits au minimum nécessaire pour effectuer le travail et n’existent que juste à temps, que les systèmes soient renforcés et que les données vitales soient sécurisées. Il faut maintenant voir si LockBit reste hors d’état de nuire, mais il est certain que d’autres sont prêts à combler le vide » termine-t-il.

Des autorités enfin pro-actives dans la chasse aux ransomwares

Paolo Passeri, Cyber Intelligence Specialist chez Netskope, pour sa part se montre satisfait de la pro-activité des autorités. « Les forces de police adoptent une approche plus agressive lors des opérations contre les cyber-gangs, l’opération contre LockBit, faisant suite à celles contre ALPH/BlackCat et HIVE, ne fait pas exception. L’implication de plusieurs pays démontre une sophistication croissante de ces réseaux criminels, mais également d’une collaboration solide en matière de défense entre différentes nations » commente-t-il.

« Les forces de l’ordre ont exploité la vulnérabilité CVE-2023-3824, affectant PHP »

Il relève l’ironie de l’histoire en ce qui concerne la manière dont LockBit a été traqué. « La technique des forces de l’ordre pour prendre le contrôle du site internet de LockBit est un peu ironique. Elles ont, en effet, exploité la vulnérabilité CVE-2023-3824, affectant PHP, utilisant ainsi la méthode d’attaque du groupe de cybercriminels, dont l’exploitation de vulnérabilités est l’une des principales méthodes d’attaque » décrit-il.

Mais il reste également pessimiste quant à l’avenir. « Cet assaut réussi est une victoire pour la lutte contre les ransomwares à un niveau macro et systémique, mais n’a pas pour autant éliminé le groupe de cybercriminels. Ces derniers continuent à s’adapter, à se coordonner et à faire évoluer leurs capacités. Par conséquent, les gouvernements et les industries privées se doivent de continuer à faire de même. Les organisations ont pour mission de construire, développer, collaborer à tous les niveaux afin de faire face à la menace mondiale que représentent les gangs de ransomwares » termine-t-il.

Vers une période temporaire de calme ?

Quant à Alexander Zabrovsky analyste de l’équipe Digital Footprint Intelligence de Kaspersky, il parie sur une période de calme, le temps que le secteur du cyber crime se ressaisise. « Il ne faut pas négliger la possibilité qu’un autre groupe saisisse cette opportunité pour combler le vide laissé par LockBit » pronostique Alexander Zabrovsky.

« L’objectif premier de ces groupes, en particulier ceux qui proposent des ransomwares-en-tant-que-service, est le profit »

L’argent sera le nerf de la guerre. « Cet autre groupe va apprendre de ses erreurs en étant d’autant plus vigilant dans la mise en œuvre de ses opérations. L’objectif premier de ces groupes, en particulier ceux qui proposent des ransomwares-en-tant-que-service, est le profit, ce qui peut inciter davantage d’acteurs malveillants à reproduire ce modèle lucratif » craint-il. Il préconise également de renforcer les défenses vis-à-vis des ransomwares, tant pour les entreprises que pour les organisations à but non lucratif.

Dans le monde des hackers, LockBit émerge par son professionnalisme. « LockBit a non seulement mis en place les pratiques et tactiques les plus efficaces, permettant au groupe de mener à bien ses attaques sur les entreprises sur le long terme, mais a également continuellement développé son programme de partenariat » relève-t-il.

Près de deux cents affiliés au programme de rançonnage de LockBit

Près de deux cents affiliés, des voyous qui font chanter les entreprises, avaient rejoint le programme d’usage du ransomware de LockBit afin d’attaquer les entreprises.  « Le site web, désormais sous le contrôle des forces de l’ordre, a révélé l’existence de 194 comptes dans le programme d’affiliation. Pour devenir membre du programme, les candidats devaient passer un entretien et déposer une caution de 1 Bitcoin, une mesure destinée à protéger les auteurs de ransomwares contre les forces de l’ordre et les experts en cybersécurité. Cette stratégie n’a finalement pas suffi à assurer leur survie » poursuit Alexander Zabrovsky.

« L’arrestation des collaborateurs de Lockbit peut avoir des conséquences psychologiques non négligeables sur certains cybercriminels »

Le mode de fonctionnement de LockBit est un modèle du genre mais la force de réaction de la police peut avoir un effet bénéfique. « LockBit a servi de modèle à de nombreux groupes cybercriminels, et pas seulement aux familles de ransomware. L’arrestation des collaborateurs de Lockbit et la prise de contrôle du site web du groupe par les autorités, peut avoir des conséquences psychologiques non négligeables sur certains cybercriminels » veut-il croire.

« Cela peut les amener à s’abstenir de toute activité frauduleuse pendant un certain temps, voire les inciter à réévaluer complètement leurs activités et à les abandonner » dit-il. « Les résultats potentiels du démantèlement peuvent, pendant une courte période, réduire le nombre d’attaques par ransomware, car les cybercriminels, comme tout le monde, ne sont pas insensibles à la peur et à la crainte de la répression » termine-t-il.

Toute cette saga est loin d’être terminée

Le mot de la fin provisoire est pour Julien Tessier, CEO de LockSelf, plateforme de cybersécurité française certifiée par l’ANSSI. « Attention, tout cette saga est loin d’être terminée » relativise-t-il. « Ce  sont les serveurs de l’entreprise qui ont été saisis, ce qui signifie que le ‘ransomware as a service’ n’est plus actif, cependant, LockBit existe toujours » poursuit-il. « Les têtes qui ont été coupées vont repousser. Il est toujours possible pour les hackers de commercialiser le logiciel, même sous le même nom, via un nouveau website » prévient-il. « Cela pourrait prendre des années aux forces de l’ordre pour le refermer. Cette actualité renforce notre conviction quant à une sécurisation accrue notamment à l’aube des Jeux Olympiques de Paris » conclut-il.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *