Doxxed

Le créateur du rançongiciel LockBit serait un Russe de 31 ans

Par Jean-Marc Manach

Le 10 Mai 2024 à 09h24
Sécurité
8 min 9

Abonnez-vous pour tout dévorer et ne rien manquer.

Déjà abonné ? Se connecter

Abonnez-vous

Après avoir saisi son infrastructure informatique en février dernier, les autorités viennent de révéler l'identité du responsable du rançongiciel LockBit. Celui-ci est accusé d'avoir « personnellement » engrangé « plus de 100 millions de dollars », soit 20 % des 500 millions de dollars de rançons versées par leurs victimes.

La National Crime Agency (NCA) britannique, la Justice états-unienne et Europol viennent de mettre à jour le serveur caché de LockBit 3.0 qu'ils avaient saisi lors de l'opération Cronos en février dernier. À l'époque, elles avaient lancé un compte à rebours laissant entendre que l'identité de Lockbitsupp, pseudo de l'administrateur du ransomware-as-a-service (RaaS), serait rendue publique cinq jours plus tard.

Il aura donc fallu attendre deux mois et demi pour qu'elles ne se décident à mettre à jour le .onion, révéler son identité, les pseudos de ses 194 « affiliés » ainsi que d'autres données concernant leurs victimes, et un nouveau compte à rebours annonçant la fermeture prochaine du site.

26 chefs d'accusation, passibles d'un maximum de 185 ans de prison

Abonnez-vous pour tout dévorer et ne rien manquer.

Déjà abonné ? Se connecter

Abonnez-vous

Commentaires (9)


potn Abonné
Le 12/05/2024 à 10h07
Je ne comprends pas qu'on puisse faire assez confiance à un cyberattaquant pour lui payer une rançon : c'est quoi l'intérêt pour lui d'être "honnête" ? Je vois mal des victimes se dire entre elles "oh bah moi j'ai été hacké l'année dernière, j'ai payé et tout est rentré dans l'ordre : 5 étoiles pour le Service Après Hack". -_-'
Edrain Abonné
Le 14/05/2024 à 19h27
Imagine que tu développes un produit/service sur lequel toute ton activité repose ; imagine que tu n'as pas eu de vraie stratégie de cybersécurité, et que tu n'as pas fait de sauvegardes (ou alors ces dernières étant en ligne ont également été chiffrées par l'attaquant) ; ou bien encore, imagine que de la continuité de ton activité, ou de sa reprise, dépendent des vies (au sens figuré, peut-être, parfois au sens littéral, dans les cas d'hôpitaux) ; en ce cas, que ferais-tu?

Et même si je comprends ton point de vue, tu tournes mal la réflexion de ces acteurs : ils ne paient pas parce qu'ils font confiance à l'attaquant ; ils paient car, pour eux, ils n'ont pas le choix, et que même le risque de se faire avoir ne contrebalance pas la faible possibilité que l'attaquant rende les données chiffrées.

Attention, hein, je ne les défends pas ; au contraire! "Ne jamais payer la rançon", c'est un excellent conseil, certes, mais c'est aussi un état à atteindre ; que faire pour se rendre en position de pouvoir respecter ce conseil? En répondant à cette question, et en prenant les mesures appropriées, on se protège des effets les plus néfastes de ces groupes d'attaquants. :-)
potn Abonné
Le 15/05/2024 à 08h52

Edrain

Imagine que tu développes un produit/service sur lequel toute ton activité repose ; imagine que tu n'as pas eu de vraie stratégie de cybersécurité, et que tu n'as pas fait de sauvegardes (ou alors ces dernières étant en ligne ont également été chiffrées par l'attaquant) ; ou bien encore, imagine que de la continuité de ton activité, ou de sa reprise, dépendent des vies (au sens figuré, peut-être, parfois au sens littéral, dans les cas d'hôpitaux) ; en ce cas, que ferais-tu?

Et même si je comprends ton point de vue, tu tournes mal la réflexion de ces acteurs : ils ne paient pas parce qu'ils font confiance à l'attaquant ; ils paient car, pour eux, ils n'ont pas le choix, et que même le risque de se faire avoir ne contrebalance pas la faible possibilité que l'attaquant rende les données chiffrées.

Attention, hein, je ne les défends pas ; au contraire! "Ne jamais payer la rançon", c'est un excellent conseil, certes, mais c'est aussi un état à atteindre ; que faire pour se rendre en position de pouvoir respecter ce conseil? En répondant à cette question, et en prenant les mesures appropriées, on se protège des effets les plus néfastes de ces groupes d'attaquants. :-)
J'avais bien ce type de scénario en tête, mais du coup il y a beaucoup d'espoir que le hackeur va te donner les clés de déchiffrement.

Mais c'est sûr que c'est le "dernier espoir". La dernière chose à faire, mais si on ne fait rien, c'est certain qu'on va tout perdre...
Edrain Abonné
Le 15/05/2024 à 09h29

potn

J'avais bien ce type de scénario en tête, mais du coup il y a beaucoup d'espoir que le hackeur va te donner les clés de déchiffrement.

Mais c'est sûr que c'est le "dernier espoir". La dernière chose à faire, mais si on ne fait rien, c'est certain qu'on va tout perdre...
"Beaucoup" d'espoir, non ; un espoir limité, faible, pour peu que l'acteur soit lucide! Mais bon, si je suis empoisonné et que quelqu'un me dit : "contre toutes tes économies, je te donne cette pilule qui a 10% de chances de te sauver ; c'est soit ça, ou la mort", ben ces faibles chances sont mieux que pas de chance du tout! ;-)
potn Abonné
Le 15/05/2024 à 12h42

Edrain

"Beaucoup" d'espoir, non ; un espoir limité, faible, pour peu que l'acteur soit lucide! Mais bon, si je suis empoisonné et que quelqu'un me dit : "contre toutes tes économies, je te donne cette pilule qui a 10% de chances de te sauver ; c'est soit ça, ou la mort", ben ces faibles chances sont mieux que pas de chance du tout! ;-)
Dis comme ça, en effet. Mais c'est vraiment dans le cas extrême où tu "meurs" si tu paye pas. Si c'est juste "tu perds un bras", ça ne vaut pas le coup de perdre EN PLUS un orteil en espérant récupérer le bras.
Edrain Abonné
Le 12/05/2024 à 12h42
Si on additionne les pourcentages des nationalités des entreprises ciblées, cela donne (bien) plus que 100% ; une erreur dans les calculs, ou bien ces entreprises sont-elles pour beaucoup multinationales? Super article sinon!
Loloterie Abonné
Le 12/05/2024 à 20h59
J'ai mis un peu de temps à comprendre ces chiffres. Il faut les mettre en lien avec le nombre de cyberattaques préparées dans le pays.
Pas exemple, aux USA, sur les 1299 cyberattaques préparées, 495 cyberattaques ont mené à des négociations (soit 38%). Formulé autrement, 38% des victimes ciblées aux USA ont entrepris des négociations.

Pour rejoindre la remarque au-dessus, je trouve que cela fait beaucoup.
Y a-t-il des raisons pour que les cibles continuent à vouloir négocier malgré les expériences identiques reportées par les autorités ? L'espoir de récupérer les données sans payer après le décryptage ?
Edrain Abonné
Le 13/05/2024 à 09h12

Loloterie

J'ai mis un peu de temps à comprendre ces chiffres. Il faut les mettre en lien avec le nombre de cyberattaques préparées dans le pays.
Pas exemple, aux USA, sur les 1299 cyberattaques préparées, 495 cyberattaques ont mené à des négociations (soit 38%). Formulé autrement, 38% des victimes ciblées aux USA ont entrepris des négociations.

Pour rejoindre la remarque au-dessus, je trouve que cela fait beaucoup.
Y a-t-il des raisons pour que les cibles continuent à vouloir négocier malgré les expériences identiques reportées par les autorités ? L'espoir de récupérer les données sans payer après le décryptage ?
Ah, bien vu! C'est la présence de "avaient tenté de négocier" à la fin qui perturbe la compréhension de la phrase ; merci!

En ce qui concerne les raisons : non, ce n'est pas la volonté de récupérer les données sans payer ; la plupart des attaquants, aujourd'hui, non seulement exfiltrent d'abord et menacent de rendre public, et chiffrent les données ; évidemment, ils ne donnent la clé qu'après avoir reçu le paiement. Après, beaucoup d'attaquants, même après paiement, ne donnent pas la clé, ou bien celle-ci ne fonctionne pas (et on n'évoque même pas le fait qu'un attaquant, après avoir été payé, ne s'est pas engagé à se barrer du système d'information de la victime, et a donc la possibilité de revenir pour la faire payer à nouveau ; ben oui, elle a déjà payé une fois! Certains font même des discounts!).

A mon avis, les causes de ces paiements sont plutôt : méconnaissance de l'écosystème et des modes opératoires des attaquants (et donc naïveté de victimes qui pensent sincèrement recevoir la clé de déchiffrement), et inquiétude quant au caractère critique des données exfiltrées (qu'elles le soient réellement, ou qu'une publication des données exfiltrées et la médiatisation d'une telle cyberattaque seraient de nature à nuire tout particulièrement à la victime (contrat en cours? publication de données financières? etc.).

Après, il faut distinguer "paiement de la rançon" et "discussions avec l'attaquant" ; dans ce dernier cas, il peut tout à fait y avoir une volonté du défenseur de gagner du temps et de recueillir des informations, en faisant croire que l'on est prêt à payer. ;-)
Loloterie Abonné
Le 13/05/2024 à 23h20

Edrain

Ah, bien vu! C'est la présence de "avaient tenté de négocier" à la fin qui perturbe la compréhension de la phrase ; merci!

En ce qui concerne les raisons : non, ce n'est pas la volonté de récupérer les données sans payer ; la plupart des attaquants, aujourd'hui, non seulement exfiltrent d'abord et menacent de rendre public, et chiffrent les données ; évidemment, ils ne donnent la clé qu'après avoir reçu le paiement. Après, beaucoup d'attaquants, même après paiement, ne donnent pas la clé, ou bien celle-ci ne fonctionne pas (et on n'évoque même pas le fait qu'un attaquant, après avoir été payé, ne s'est pas engagé à se barrer du système d'information de la victime, et a donc la possibilité de revenir pour la faire payer à nouveau ; ben oui, elle a déjà payé une fois! Certains font même des discounts!).

A mon avis, les causes de ces paiements sont plutôt : méconnaissance de l'écosystème et des modes opératoires des attaquants (et donc naïveté de victimes qui pensent sincèrement recevoir la clé de déchiffrement), et inquiétude quant au caractère critique des données exfiltrées (qu'elles le soient réellement, ou qu'une publication des données exfiltrées et la médiatisation d'une telle cyberattaque seraient de nature à nuire tout particulièrement à la victime (contrat en cours? publication de données financières? etc.).

Après, il faut distinguer "paiement de la rançon" et "discussions avec l'attaquant" ; dans ce dernier cas, il peut tout à fait y avoir une volonté du défenseur de gagner du temps et de recueillir des informations, en faisant croire que l'on est prêt à payer. ;-)
Merci pour ces précisions !
J'avais tiqué sur l'expression "entreprendre des négociations" sans penser à la possibilité de gagner du temps pour recueillir des informations.

En voyant le pourcentage bas de la France par rapport aux autres (26% tout de même), j'ai l'impression que les campagnes de préventions — par l'ANSSI notamment — ont peut-être porté leurs fruits !
Fermer