Eh bien, eh bien, comment les platines vinyles ont… vous voyez l’idée. Lockbit, un syndicat de ransomwares notoire qui aurait extorqué plus de 120 millions de dollars de biens mal acquis à des victimes dans le monde entier, a fait l’objet d’une opération de retrait réussie de la part d’un groupe comprenant diverses autorités internationales, dont la police suédoise et Europol.
La meilleure partie? Plutôt que de simplement verrouiller le site Web sombre, les enquêteurs ont profité de l’occasion pour faire leur propre pêche à la traîne.
Non contentes d’obtenir simplement un accès root aux serveurs du groupe de ransomwares, les autorités, opérant sous le titre « Opération Cronos », ont décidé de s’amuser un peu en induisant la schadenfreude pendant qu’elles y étaient (via Ars Technica). Dans une série d’images affichées sur les sites précédemment exploités par Lockbit, les enquêteurs ont non seulement révélé l’étendue des accès qu’ils avaient obtenus – y compris le contrôle du panneau Web principal que les opérateurs de Lockbit utilisaient pour communiquer avec leurs victimes – mais ont également taquiné le fondateur, en exploitant sous le nom de LockbitSupp, d’une manière qu’ils connaissent peut-être bien.
Une page sur le site principal indiquait « Qui est LockbitSupp ? La question à 10 millions de dollars », complétée par un minuteur comptant les secondes jusqu’à ce que leurs informations d’identification soient publiées. Cela reflétait une méthode d’extorsion courante utilisée par les opérateurs de Lockbit pour extorquer de grosses sommes d’argent aux victimes, dans laquelle ils narguaient leurs proies potentielles et leur donnaient un délai réduit pour payer.
De plus, les images elles-mêmes comportaient des noms de fichiers qui semblent se vanter de l’ampleur du succès de l’opération, avec quelques points forts tels que « this_is_really-bad.png » et « doesnt_look_good.png ».
L’opération, qui a duré plusieurs mois, a été considérée comme une victoire majeure dans la lutte contre les opérateurs de ransomwares, avec 34 serveurs aux Pays-Bas, en Allemagne, en Finlande, en France, en Suède et d’autres encore mis hors service une fois que les autorités se sont amusées. Deux arrestations ont eu lieu jusqu’à présent, avec trois mandats d’arrêt internationaux et cinq actes d’accusation également émis par les autorités françaises et américaines.
Lockbit fonctionnait auparavant comme une opération de ransomware-as-a-service, où le malware était distribué par une équipe centrale au sein du groupe à divers « affiliés » qui l’utilisaient ensuite pour faire chanter les victimes afin qu’elles remettent leur argent. Le groupe et ses opérateurs ont souvent eu recours à des outils de chiffrement pour verrouiller les données des utilisateurs, avant de menacer de les divulguer en lançant des attaques DDoS pour faire monter la pression, selon une méthode qualifiée de triple extorsion.
14 000 comptes utilisés par Lockbit sont désormais sous le contrôle des forces de l’ordre à la suite de cette opération, qui a nécessité une énorme coopération entre diverses agences pour aboutir. Bien que Lockbit soit loin d’être le seul syndicat de ransomware opérant sur le dark web, il était certainement l’un des plus importants, et son retrait pourrait bien servir d’avertissement à ceux qui espèrent imiter son succès.
Non seulement les autorités arrivent, semble-t-il, mais si elles franchissent vos murs numériques, elles pourraient bien réaliser un tour de victoire sur les cendres de votre empire criminel et se moquer de vous dans le processus.
Pourtant, c’est difficile de se sentir trop désolé pour eux, hein ? Au-delà du malware lui-même, la honte, l’embarras et la peur étaient les outils du métier de Lockbit, et dans ce cas, il semble que ce ne soient que des desserts qui viennent d’être servis.