Remise en contexte: Le FBI et d’autres autorités nationales et internationales démantelent fréquemment les réseaux de piratage et de logiciels malveillants. Généralement, ils commencent par procéder à des arrestations, puis s’emparent du site Web du groupe – généralement hébergé sur le dark web – et le ferment en affichant un test bien visible sur la page de destination.
Plus tôt cette année, une coalition internationale appelée Cronos et composée d’organismes chargés de l’application des lois de plusieurs pays, dont la National Crime Agency (NCA) du Royaume-Uni et le Federal Bureau of Investigation des États-Unis, a fermé le site Web officiel du réseau de ransomware LockBit. Cela semblait être un retrait typique avec seulement une pancarte en plein écran proclamant que l’appareil avait été saisi par les autorités.
Dimanche, dans un retournement de protocole inhabituel, l’un des sites Web du dark web a été remis en ligne. Bien qu’il ait conservé le formatage original de LockBit, toutes les vignettes étaient liées au buste (ci-dessous). Il comprenait des éléments tels que des communiqués de presse des forces de l’ordre et des liens inactifs vers plus d’informations telles que « Qui est LockbitSupp », « Qu’avons-nous appris », « Davantage de pirates LB exposés » et d’autres. Certains disent que les autorités tentent de « troller » le gang, mais il est difficile de dire qui aura le dernier mot lorsque LockBit est toujours en activité (nous en parlerons plus dans une minute).
Usurpation des forces de l’ordre sur le site Web de LockBit. Crédit image : TechCrunch
Lundi, l’ANC a annoncé sur son compte X qu’elle aurait une annonce officielle « dans 24 heures » (7 mai). Il n’est pas clair si cela prendra la forme d’un communiqué de presse ou si le site Web saisi deviendra actif avec les nouvelles informations des autorités. Il est probable qu’il fasse au moins une déclaration écrite, car tout le monde ne peut pas accéder au dark web.
Ce que l’on sait, c’est qu’en plus du site Web, les autorités ont saisi 34 serveurs répartis en Europe, au Royaume-Uni et aux États-Unis et ont obtenu les clés de cryptage permettant aux victimes de déverrouiller leurs systèmes. Ils ont également arrêté deux membres de LockBit – l’un en Ukraine et l’autre en Pologne. Les forces de l’ordre pensent qu’un troisième membre du gang se cache à Kaliningrad, en Russie, avec une prime de 10 millions de dollars sur sa tête. Les pirates ont également perdu l’accès à plus de 200 portefeuilles de crypto-monnaie contenant une somme non révélée du produit de la rançon.
Annonce officielle dans 24h #Cronos
Surveillez cet endroit pic.twitter.com/ttKd58QVFL
– Agence nationale contre la criminalité (NCA) (@NCA_UK) 6 mai 2024
LockBit est apparu pour la première fois en 2019. Depuis lors, il a élargi sa portée pour exploiter une société de ransomware en tant que service. LockBit « loue » son ransomware à d’autres groupes de hackers et individus, en prenant une part des bénéfices, tout comme votre gang du crime organisé standard. L’opération est devenue l’un des plus grands groupes de ransomwares au monde, recevant des millions de dollars de gains au fil des ans.
Le gang est si bien organisé et si largement répandu que même après la crise de février, LockBit a repris ses activités avec un nouveau site Web en une semaine. Il dispose d’une nouvelle présence sur le dark web offrant les mêmes services : ransomware et caches de données. Le site Web de cybersécurité VXUG affirme avoir contacté un membre de l’équipe de LockBit, qui a affirmé que Cronos ne faisait que « faire un spectacle ».
« Je ne comprends pas pourquoi ils organisent ce petit spectacle. Ils sont clairement mécontents que nous continuions à travailler », a déclaré l’employé.
Je suppose que nous découvrirons demain quel genre de cascades les autorités tentent de mettre en place.
Détente, découvrez l’évolution du nombre de smartphones vendus par marque au fil du temps dans la vidéo ci-dessous :
