C'est en jouant le même jeu que les hackers que les services de police de plusieurs pays sont venus à bout de Lockbit, le groupe de criminels qui maintenait et proposait un rançongiciel du même nom à leurs franchisés.

Ils ont exploité une vulnérabilité dans les serveurs web que ce groupe utilisait pour publier les données volées aux victimes quand ces dernières refusent de payer la rançon pour déchiffrer leurs données. Car Lockbit était coutumier de la double extorsion : demander une rançon pour obtenir la clé de déchiffrement des données et si la société ne paie pas parce qu'elle a des copies de sauvegarde, le menacer de publier les données subtilisées. Il y a même la triple extorsion : si des données clients ont été prises, c'est leur demander une rançon aussi.

Via le serveur web piraté en sens inverse, les services de police ont pu remonter dans les serveurs techniques à partir desquels Lockbit permet à ses franchisés de lancer des attaques.  Il était temps : Lockbit a été très efficace depuis 4 ans : il a fait 2.000 victimes et pour plus de 144 millions USD de rançons collectées.

Ce sont 40 serveurs saisis et 200 comptes de cryptomonnaies bloqués.

Car on ne le dira jamais assez : c'est l'émergence des cryptomonnaies qui a permis aux rançongiciels de devenir une vraie industrie. Car il fallait aussi industrialiser la collecte d'argent des 4 coins du monde auprès des victimes des rançongiciels. Quoi de mieux que les bitcoins qui ne connaissent pas de frontières et ne recourent pas aux sociétés qui proposent des transferts d'argent à l'international. Pour semer la police, il suffit alors de quelques conversions de cryptomonnaies en d'autres cryptomonnaies à travers des plateformes pas du tout régulées (puisqu'elles ne traitent pas des monnaies réelles) pour enfin, au bout de la chaine, prendre une plateforme dans un pays exotique qui propose des dollars contre des cryptomonnaies.

Défacement

Les enquêteurs ont le sens du service après-vente avec un joli sens de l'humour : les sites qui affichaient les comptes à rebours par client pour payer la rançon avant publication des données sont restées en l'état mais ont été remplacés par une annonce de la clé de déchiffrement pour les victimes qui n'avaient pas payé (c'est ce qu'on appelle un défacement). Car en s'infiltrant dans l'infrastructure de Lockbit, les enquêteurs sont tombés sur les clés de chiffrement utilisées.

C'est cela qui fait mal : un rançongiciel n'est pas un programme autonome qu'on injecte dans le réseau de la victime et puis on attend. Non : à travers cette infrastructure maintenant à plat, Lockbit proposait des consoles de contrôle et de suivi de l'attaque à ses franchisés qui en sont maintenant privés.

Le seul souci, c'est que ces franchisés utilisent aussi d'autres rançongiciels « as a service » : ce sont en fait les petites mains qui ont comme seule tâche de trouver des victimes c'est-à-dire des points d'entrée dans le réseau des sociétés, par hameçonnage, par vulnérabilité non corrigée. Et on leur offre, puisqu'ils ont la sale besogne, jusqu'à 60-80 % des rançons. Ils ne doivent reverser que 20 % à Lockbit.

Les autorités ont aussi rendu publics les mandats permettant aux policiers de suivre les mêmes méthodes que Lockbit : pénétrer leurs infrastructures comme des hackers. Il s'agit notamment de Stealbit, une infrastructure qui permettait aux administrateurs de Lockbit d'organiser l'exfiltration des données des victimes. Car il en faut une solide quand il s'agit de Terabytes de données à stocker.

À terre ?

Est-ce un coup dur pour l'industrie des rançongiciels ou un simple coup de mou ?

Il se dit que les enquêteurs ont pu voir et comprendre le réseau des franchisés qui utilisaient Lockbit et par eux, peut-être remonter aux autres groupes de rançongiciels qu'ils utilisent. Et d'évoquer des noms doux comme FIN7, Wizard Spider, and EvilCorp. Y aura-t-il des démantèlements en cascade des autres groupes de rançongiciels ?  Car c'est une grosse industrie et comme dans toute grosse industrie, il n'y a que quelques gros fournisseurs. Hélas, même si cela devait arriver, là aussi la nature a horreur du vide.

L'enseignement le plus important, c'est que Lockbit a été pris à son propre jeu. Il s'est fait attaquer par les mêmes méthodes. De fait, ces criminels utilisent les mêmes infrastructures que leurs victimes, des serveurs, des machines des logiciels qui sont vulnérables. En fait, Lockbit avait lancé un appel à ses franchisés pour qu'ils l'aident à trouver des vulnérabilités sur ses infrastructures.  Cela a mis la puce à l'oreille du FBI qui a joué le jeu et a trouvé !