Le FBI exhorte les victimes de l’un des groupes de ransomwares les plus prolifiques à se manifester après que les agents ont récupéré des milliers de clés de déchiffrement qui pourraient permettre la récupération de données restées inaccessibles pendant des mois ou des années.
La révélation, faite mercredi par un haut responsable du FBI, intervient trois mois après qu’un groupe international d’organismes chargés de l’application des lois a saisi des serveurs et autres infrastructures utilisés par LockBit, un syndicat de ransomware qui, selon les autorités, a extorqué plus d’un milliard de dollars à 7 000 victimes dans le monde. Les autorités avaient déclaré à l’époque avoir pris le contrôle de 1 000 clés de déchiffrement, 4 000 comptes et 34 serveurs et avoir gelé 200 comptes de cryptomonnaie associés à l’opération.
Lors d’un discours prononcé devant une conférence sur la cybersécurité à Boston, le directeur adjoint du FBI, Bryan Vorndran, a déclaré mercredi que les agents avaient également récupéré un actif qui intéresserait beaucoup des milliers de victimes de LockBit : les clés de décryptage qui pourraient leur permettre de déverrouiller les données détenues. contre rançon par les associés de LockBit.
« De plus, grâce à la perturbation continue de LockBit, nous disposons désormais de plus de 7 000 clés de décryptage et pouvons aider les victimes à récupérer leurs données et à se reconnecter », a déclaré Vorndran après avoir souligné d’autres réalisations résultant de la saisie. « Nous contactons les victimes connues de LockBit et encourageons toute personne soupçonnant d’être une victime à visiter notre centre de plaintes contre la criminalité sur Internet sur ic3.gov. »
Le nombre de clés de déchiffrement actuellement en possession des forces de l’ordre est nettement supérieur aux 1 000 clés que les autorités ont déclaré avoir obtenues le jour de l’annonce du retrait.
Le directeur adjoint a averti que récupérer les clés de décryptage en les achetant auprès des opérateurs ne résout qu’un des deux problèmes des victimes. Comme la plupart des groupes de ransomwares, LockBit suit un modèle de double extorsion, qui exige une prime non seulement pour la clé de déchiffrement mais également la promesse de ne pas vendre de données confidentielles à des tiers ni de les publier sur Internet. Si la restitution des clés peut permettre aux victimes de récupérer leurs données, cela n’empêche en rien LockBit de vendre ou de diffuser les données.
« Lorsque les entreprises sont extorquées et choisissent de payer pour empêcher la fuite de données, vous payez pour empêcher la divulgation de données maintenant, et non dans le futur », a déclaré Vorndran. « Même si vous récupérez les données auprès des criminels, vous devez supposer qu’elles pourraient un jour être divulguées, ou qu’un jour vous pourriez être à nouveau extorqué pour les mêmes données. »
Il va de soi que les victimes qui obtiennent l’une des 7 000 clés récupérées par les forces de l’ordre courent la même menace : leurs données seront divulguées si elles ne paient pas.
La lutte contre les ransomwares est marquée par des victoires tout aussi limitées, et les efforts visant à freiner les activités de LockBit ne sont pas différents. Les autorités ont arrêté un associé de LockBit nommé Mikhail Vasiliev en 2022 et ont condamné contre lui une peine de quatre ans de prison en mars. Le mois dernier, les autorités ont désigné le mystérieux chef de file de LockBit comme étant Yuryevich Khoroshev, un ressortissant russe de 31 ans.
Malgré ces actions et la saisie en février de l’infrastructure clé de LockBit, les logiciels malveillants basés sur LockBit ont continué à se propager. Les chercheurs ont également observé nouvelles attaques LockBit et la sortie de nouveaux chiffreurs par le groupe. Depuis l’opération policière, les associés de LockBit ont également divulgué des tranches de données volées aux victimes avant et depuis.
Le Département d’État américain offre 10 millions de dollars pour les informations conduisant à l’arrestation ou à la condamnation des dirigeants de LockBit et 5 millions de dollars pour les filiales du groupe.