Après des années de défaite, c’est enfin au tour du gouvernement fédéral de troller un groupe de ransomwares

0

Getty Images

Après avoir été déjouées pendant des années par des criminels sarcastiques qui taquinent et se vantent de chaque nouvelle victime qu’ils prétendent, les autorités internationales ont finalement eu l’occasion de renverser la situation, et elles ne la gaspillent pas.

Cette campagne de pêche à la traîne de premier ordre a eu lieu après que les autorités des États-Unis, du Royaume-Uni et d’Europol ont détruit la plupart des infrastructures appartenant à LockBit, un syndicat de ransomwares qui a extorqué plus de 120 millions de dollars à des milliers de victimes à travers le monde. Mardi, la plupart des sites que LockBit utilise pour faire honte à ses victimes d’avoir été piratés, les forcer à payer et se vanter de leurs prouesses en matière de piratage ont commencé à afficher du contenu annonçant le retrait. L’infrastructure saisie hébergeait également des décrypteurs que les victimes pouvaient utiliser pour récupérer leurs données.

Le site Web sombre LockBit avait autrefois l'habitude de nommer et de faire honte aux victimes, affichant des entrées telles que "communiqués de presse," "Fuites du back-end LB," et "LockbitSupp Vous avez été banni de Lockbit 3.0."
Agrandir / Le site Web sombre LockBit avait autrefois l’habitude de nommer et de faire honte aux victimes, affichant des entrées telles que « communiqués de presse », « LB Backend Leaks » et « LockbitSupp Vous avez été banni de Lockbit 3.0 ».

this_is_really_bad

Les autorités n’ont pas utilisé le site de nom et de honte saisi uniquement à des fins d’information. Une section qui semblait manifestement se réjouissait de l’étendue extraordinaire de l’accès au système obtenu par les enquêteurs. Plusieurs images indiquaient qu’ils contrôlaient /etc/shadow, un fichier Linux qui stocke les mots de passe hachés cryptographiquement. Ce fichier, parmi les plus sensibles en matière de sécurité sous Linux, n’est accessible que par un utilisateur disposant de root, le niveau de privilèges système le plus élevé.

Capture d'écran montrant un dossier nommé
Agrandir / Capture d’écran montrant un dossier nommé « shadow » avec des hachages pour les comptes, notamment « root », « daemon », « bin » et « sys ».

D’autres images ont démontré que les enquêteurs avaient également un contrôle total sur le panneau Web principal et sur le système que les opérateurs LockBit utilisaient pour communiquer avec les affiliés et les victimes.

Capture d'écran d'un panneau utilisé pour administrer le site LockBit.
Agrandir / Capture d’écran d’un panneau utilisé pour administrer le site LockBit.
Capture d'écran montrant des discussions entre un affilié de LockBit et une victime.
Agrandir / Capture d’écran montrant des discussions entre un affilié de LockBit et une victime.

Le délire ne s’est pas arrêté là. Les noms de fichiers des images portaient des titres tels que : « this_is_really_bad.png », « oh dear.png » et « doesnt_look_good.png ». La page saisie a également taquiné le prochain doxing de LockbitSupp, le surnom du personnage principal de LockBit. Il disait : « Qui est LockbitSupp ? La question à 10 millions de dollars » et a affiché des images d’argent liquide enveloppé dans des chaînes avec des cadenas. Copieant une pratique courante de LockBit et des groupes de ransomwares concurrents, le site saisi a affiché une horloge comptant les secondes jusqu’à ce que les informations d’identification soient publiées.

Capture d'écran montrant
Agrandir / Capture d’écran montrant « qui est lockbitsupp ? »

Au total, les autorités ont déclaré avoir pris le contrôle de 14 000 comptes et 34 serveurs situés aux Pays-Bas, en Allemagne, en Finlande, en France, en Suisse, en Australie, aux États-Unis et au Royaume-Uni. Deux suspects de LockBit ont été arrêtés en Pologne et en Ukraine, et cinq actes d’accusation et trois mandats d’arrêt ont été émis. Les autorités ont également gelé 200 comptes de crypto-monnaie liés à l’opération ransomware.

« À l’heure actuelle, une grande quantité de données recueillies tout au long de l’enquête est désormais en possession des forces de l’ordre », ont déclaré des responsables d’Europol. « Ces données seront utilisées pour soutenir les activités opérationnelles internationales en cours visant à cibler les dirigeants de ce groupe, ainsi que les développeurs, les filiales, les infrastructures et les actifs criminels liés à ces activités criminelles. »

LockBit fonctionne depuis au moins 2019 sous le nom « ABCD ». En trois ans, il s’agissait du ransomware le plus répandu. Comme la plupart de ses pairs, LockBit fonctionne sous ce que l’on appelle un ransomware-as-a-service, dans lequel il fournit des logiciels et une infrastructure aux affiliés qui l’utilisent pour compromettre les victimes. LockBit et les sociétés affiliées divisent ensuite les revenus qui en résultent. Des centaines d’affiliés y ont participé.

Selon KrebsOnSecurity, l’un des dirigeants de LockBit a déclaré sur un forum criminel en langue russe qu’une vulnérabilité dans le langage de script PHP permettait aux autorités de pirater les serveurs. Ce détail a conduit à une autre série de critiques, cette fois de la part d’autres participants au forum.

« Cela signifie-t-il que le FBI a fourni un service de test d’intrusion au programme d’affiliation ? » a écrit un participant, selon le journaliste Brian Krebs. « Ou ont-ils décidé de participer au programme de bug bounty ? :):).”

Plusieurs membres ont également publié des mèmes narguant le groupe à propos de l’échec de la sécurité.

« En janvier 2024, LockBitSupp a déclaré aux membres du forum XSS qu’il était déçu que le FBI n’ait pas offert de récompense pour son doxing et/ou son arrestation, et qu’en réponse, il mettait sa propre tête à prix, offrant 10 millions de dollars à quiconque le pourrait. découvrez son vrai nom », a écrit Krebs. « ‘Mon Dieu, qui a besoin de moi ?’ LockBitSupp a écrit le 22 janvier 2024. « Il n’y a même pas de récompense pour moi sur le site Web du FBI. »

Source-147