"Notre travail ne s'arrête pas ici. LockBit pourrait essayer de reconstruire son entreprise criminelle". Les craintes de Graeme Biggar, directeur général de la NCA, l'Agence de lutte contre la criminalité britannique, n’étaient pas infondées.
Le 20 février dernier, le groupe de cybercriminels LockBit, présenté comme "le plus nuisible" au monde, a été démantelé lors d'une opération de police internationale. Son site internet et ses serveurs ont été bloqués.
Un cybergang de retour aux affaires?
Mais le répit a été de courte durée. Sur les sites spécialisés, le nom de ce cybergang a commencé à refaire surface très vite. Pour certains, il s’agissait alors d’entretenir l’illusion de continuité de leurs activités. La cyberattaque dont a été victime l'hôpital Simone-Veil de Cannes, le 16 avril dernier, pourrait prouver le contraire. Pour SaxX, hacker "éthique" et chercheur en cybersécurité, ils sont "repartis de plus belle".
Dans un long communiqué diffusé mardi 30 avril, l’établissement annonce avoir fait l'objet d'une demande de rançon venant de LockBit 3.0, avec un ultimatum lancé pour minuit ce jeudi. Pour rappel, ce piratage avait entraîné des annulations d'opérations et de consultations au sein de l'établissement.
Pascal Le Digol, expert en cybersécurité et responsable France de WatchGuard Technologies tient à prendre des pincettes quant à l’origine de cette cyberattaque.
"Est-ce que c'est eux? Ou est-ce une fausse revendication?", s’interroge-t-il. "C'est à vérifier. On a déjà vu de fausses revendications. Ce qui est sûr c'est que LockBit a besoin de montrer qu'ils sont encore en vie."
"C'est plus qu’une vraie revendication", assure de son côté SaxX. "Il n'y a pas de doute à avoir. Elle est affichée sur le site, sur un mur de la honte, avec les autres prises de guerre. C'est même à prendre un peu trop au sérieux". Et de souligner "la résilience assez folle" du groupe de hackers.
En atteste ce compte à rebours qui devrait passer au vert à minuit dans la nuit de mercredi à jeudi, heure à laquelle où un échantillon de données pourrait être mis en ligne.
Une méthode éprouvée au fil des années
Une chose est certaine. La méthode qui a affecté le bon fonctionnement de l'hôpital azuréen reste la même que depuis 2019, première fois où le groupe a été repéré. Le modus operandi est éprouvé: bloquer des données et exiger une rançon pour les débloquer. En cas de refus, les données sont diffusées et, à terme, revendues sur le dark web.
Cependant, plutôt que d'opérer lui-même une gigantesque opération criminelle, LockBit met son logiciel malveillant (LockBit 3.0, ndlr) à la disposition de ses affiliés – des pirates indépendants – qui lui versent ensuite un pourcentage des rançons obtenues. Un système qui porte un nom: “rançongiciel à la demande" ou "Raas", pour "Ransomware as a Service" en anglais.
"Derrière [Lockbit] il y a des Russes, mais pas seulement", précise Pascal Le Digol. "Les affiliés peuvent être partout dans le monde, y compris en France, en Belgique", abonde SaxX.
Une barrière éthique qui a volé en éclats
En seulement quelques années d’activités, LockBit et ses affiliés ont causé des milliards de dollars de dégâts et extorqué des dizaines de millions de dollars de rançons à leurs victimes, rappelle le hackeur éthique. Des banques, des services postaux ou encore des hôpitaux figurent parmi leurs cibles. En France, LockBit a été à l'origine de 27% des demandes de rançons en 2022 et 2023.
"LockBit est un groupe de piratage qui à la base se refusait à attaquer les hôpitaux", indique l’expert en cyber sécurité Pascal Le Digol. "Ils avaient même remboursé un hôpital à un moment qui s'était fait attaquer par des affiliés. On ne peut parler d'éthique pour un cybergang mais ils s'étaient mis cette limite."
Pour lui, le fait qu’une de leurs premières grandes victimes, à leur retour, ce soit un hôpital, "c'est un signe fort en termes de communication. Cela veut dire, "vous avez essayé de nous faire tomber, nous on va taper partout où on peut désormais"."
Une manière aussi de montrer, comme le décrypte SaxX, qu'"ils ne se sont pas fait ridiculiser" lors de l'opération de fin février. "Ils veulent regagner la confiance de leurs affiliés. Sans eux, ils ne sont rien".
commentaires