Le gang de ransomware LockBit a relancé ses opérations et revendique de nouvelles victimes, moins d’une semaine après que les forces de l'ordre ont démantelé ses serveurs.
Les têtes de l’hydre LockBit sont décidément bien difficiles à couper. Le « ransomware-as-a-service » a remis en route ses serveurs et ouvert un nouveau site vitrine. Et ce, moins d'une semaine après qu'une taskforce internationale coordonnée par Europol et Eurojust ait annoncé (non sans fanfaronner) avoir fortement perturbé les opérations du groupe en démantelant des dizaines de serveurs, fermant le site vitrine du gang, arrêtant plusieurs suspects, supprimant des milliers de comptes et gelant des fonds en cryptomonnaies.
Des serveurs PHP vulnérables
Le gang a confirmé une « négligence personnelle » qui a permis la compromission de serveurs PHP qui n’étaient pas mis à jour. Dans un message écrit à la première personne, dont Bleeping Computer s’est fait l’écho, un acteur malveillant appartenant à LockBit affirme que les forces de l’ordre ont piraté deux serveurs principaux « parce que pendant 5 ans à nager dans l'argent, je suis devenu très paresseux ». Une vulnérabilité critique CVE-2023-3824 aurait ainsi permis de pirater l’infrastructure du gang. Le groupe n’a pas su déterminer s’il s’agissait d’une vulnérabilité identifiée ou d’une zero-day.
LockBit a pu relancer ses activités dès samedi dernier grâce à des systèmes de sauvegarde laissés intacts. Le groupe a mis sur pied une nouvelle infrastructure pour mener ses opérations et a ouvert un nouveau site de fuite de données via une nouvelle adresse Tor et les es serveurs ont été mis à jour. LockBit a indiqué qu’il récompenserait toute personne découvrant une vulnérabilité à l’avenir.
De nouvelles victimes listées
Le message avance que l’attaque des forces de l’ordre aurait été précipitée suite au ransomware lancé contre le comté de Fulton en Géorgie aux États-Unis, et qui aurait permis aux cybercriminels de s’emparer de documents sensibles, notamment sur des affaires judiciaires concernant l’ex-président Donald Trump. Sans qu’aucune preuve ne puisse étayer les dires des pirates. Au tour de LockBit de fanfaronner, puisque l’acteur malveillant a ajouté dans son message qu’attaquer le domaine .gov « plus souvent » serait un moyen de découvrir si le FBI est en capacité ou non de répondre.
En tout cas, le gang lui, semble bien être de retour aux affaires. Le gang a déjà publié une liste comportant une douzaine de victimes présumées. Parmi elles, le comté de Fulton, Dunaway et STS Aviation Group, mais aussi le groupe de logistique français Idea. Mais LockBit a-t-il jamais été mis à terre ? Dès vendredi dernier, une étude de l’entreprise Sophos X-ops avait mis en lumière que certains des affiliés de LockBit continuaient d’opérer en utilisant la variante 3.0 du ransomware.