L’arroseur arrosé : le rançongiciel LockBit s’est fait pirater

« Don’t do crime CRIME IS BAD xoxo from Prague »

LockBit est un groupe de pirates russophone utilisant des rançongiciels et proposant même du « ransomware as a service » (RaaS). Comme le rapporte Bleeping Computer, les panneaux d’administration du rançongiciel (accessibles via des sites en .onion) affichent un message : « Don’t do crime CRIME IS BAD xoxo from Prague », xoxo étant une manière de dire « bisous ».

Ce message devrait rappeler des souvenirs aux experts en cybersécurité. C’était exactement celui affiché après le piratage du site d'Everest en avril dernier. Il s’agit d’un autre groupe de rançongiciels, lui aussi russophone, comme le rapportait alors TechCrunch.

Une archive avec une multitude de données

Le message est accompagné d’un lien pour télécharger une archive (27 Mo une fois décompressée) contenant une base de données. Selon nos confrères, qui l’ont consulté, elle « contient vingt tables, certaines plus intéressantes que d'autres ». Il est notamment question de 59 575 adresses bitcoin.

On y retrouve aussi des informations sur les « build » utilisées par les différentes versions des rançongiciels (clés publiques, mais pas les privées… dommage), une autre table « "chats" très intéressante car elle contient 4 442 messages de négociation entre des rançonneurs et des victimes (entre le 19 décembre et le 29 avril) ».

Il y a aussi une table « users » avec un listing de 75 administrateurs et… leurs mots de passe en clair. Une situation pour le moins ironique, comme l’indique Jams O’Grady, ingénieur en cybersécurité.

« LockBit était agressif lors des négociations »

Sur LinkedIn, Christiaan Beek, directeur de l'analyse des menaces de Rapid7 et membre du groupe consultatif sur la sécurité Internet d’Europol, revient sur cette affaire : « Bien que nous attendions toujours une confirmation officielle, les informations divulguées semblent réelles et ont également été partagées sur Telegram ».

Son analyse confirme la teneur des données dévoilées : « messages privés entre LockBit et ses victimes, adresses de portefeuille Bitcoin (ce qui pourrait aider les forces de l’ordre), informations détaillées sur les victimes, telles que les sites de l’entreprise, les revenus estimés et les versions personnalisées du ransomware ».

En examinant les conversations, « nous pouvons voir à quel point LockBit était agressif lors des négociations. Si certaines victimes n’ont eu à payer que quelques milliers de dollars. Dans d’autres, le groupe a exigé beaucoup plus : 50 000 dollars, 60 000 dollars ou même 100 000 dollars ».

Bleeping Computer se fait aussi l’écho d’une conversation que le pirate Rey affirme (sur X) dit avoir eu avec LockBitSupp, qui serait le leader de Lockbit. Ce dernier aurait confirmé la fuite, mais ajoutant qu’aucune donnée n’a été supprimé et que les clés privées de chiffrement n’ont pas été récupérées.

• Le créateur du rançongiciel LockBit serait un Russe de 31 ans

Un nouveau clou dans le cercueil de LockBit ?

Pour rappel, LockBit a pris du plomb dans l’aile en février dernier, lorsque les serveurs du ransomware étaient saisis dans la cadre de l’opération Cronos impliquant les services répressifs de 12 pays, d'Europol et d'Eurojust.

La gendarmerie française annonçait (un peu vite) que le groupe avait été « mis hors d’état de nuire ». En effet, il n’a pas disparu du paysage et avait rapidement repris ses activités. « Il est trop tôt pour dire si ce coup supplémentaire à la réputation de LockBit sera le dernier clou dans le cercueil du gang de ransomware », expliquent nos confrères.

Dans les suites de cette affaire, on apprenait notamment que LockBit avait été « spécifiquement conçu pour ne pas effacer automatiquement les données volées ». De plus, contrairement aux promesses du gang de pirates, elles étaient même archivées et sauvegardées, même si la victime payait la rançon demandée.

• Le démantèlement du rançongiciel LockBit révèle ses liens avec des membres du gang Evil Corp