Une querelle entre cybercriminels libère un dangereux logiciel dans la nature

Mercredi, un cybercriminel mécontent a publié le kit de développement du gang LockBit. Entre des mains connaisseuses, cette fuite permet de créer une version personnalisée d'un des rançongiciels les plus efficaces du marché. En conséquence, plusieurs experts s'inquiètent de l'émergence de nouveaux gangs.
François Manens
(Crédits : Kacper Pempel)

Depuis mercredi soir, le milieu cybercriminel assiste a une drôle de scène. Un des partenaires du gang LockBit -le plus actif en 2022- a publié sur Twitter et Github un kit de développement qui permet de créer sa propre version du rançongiciel du même nom. Ce type d'outil malveillant chiffre les données de la victime avec pour effet de rendre inutilisables les machines et autres logiciels infectés. Le programme informatique intègre même un module pour personnaliser la note de rançon déposée sur les ordinateurs, afin que les victimes puissent contacter les malfaiteurs et éventuellement négocier contre de l'argent une réparation des dégâts causés.

Rapidement, un porte-parole de LockBit s'est exprimé sur un forum privé : le gang aurait arrêté de payer un de ses développeurs à cause de retards liés à des problèmes d'alcool et de drogue. Les cybercriminels voulaient le payer seulement au rendu du travail, mais le pseudo-licenciement aurait engendré la colère du partenaire, qui a lâché dans la nature l'outil en question. Si LockBit affirme de pas s'inquiéter de la fuite, car son activité reposerait sur son organisation plus que sur son outil, les experts en cybersécurité craignent en revanche que de nombreux cybercriminels tentent d'exploiter le logiciel fuité.

LockBit, rançongiciel numéro un

D'après les analystes de l'entreprise française Sekoia, LockBit est le rançongiciel numéro un en nombre d'attaques revendiquées depuis le début de l'année. Parmi ses centaines de victimes, on retrouve notamment l'hôpital de Corbeilles-Essonne et La Poste Mobile. La grande force de ce gang, c'est avant tout sa structure. Le groupe fonctionne comme une startup, avec la volonté d'intégrer le plus d'outils et de techniques possibles.

Il améliore d'ailleurs sans cesse le logiciel chargé de chiffrer les données, qui en est à sa troisième version, dans l'objectif qu'il soit de plus en plus efficace et que les experts en cybersécurité ne puissent pas créer d'antidote. C'est dans cette démarche que le groupe a fait appel au développeur à l'origine de la fuite.

Un bug inattendu dans une organisation qui trie ses affiliés sur le volet

L'incident a attiré les moqueries dans le milieu, car LockBit tire une fierté particulière de son organisation. Il trie ses affiliés [les partenaires chargés de lancer les attaques, Ndlr] sur le volet : ils doivent avoir une bonne réputation sur le forum de recrutement (utilisé par plusieurs structures) et faire un dépôt de 1 bitcoin (plus ou moins 20.000 euros) pour devenir partenaires. Ces affiliés sont ensuite soumis à une charte qui leur interdit de rançonner certaines structures, afin de ne pas trop attirer l'attention des autorités et suivre le même destin que Darkside, démantelé après son attaque contre le gestionnaire d'oléoducs Colonial Pipeline.

Pour compléter cette carapace, LockBit a même ouvert un bug bounty, c'est-à-dire un programme où il rémunère les hackers qui lui remonteraient des failles dans ses outils. Une pratique devenue commune dans le milieu des entreprises, mais inédite chez les cybercriminels. Toutefois, ces précautions n'auront donc pas suffi, vraisemblablement à cause d'une querelle humaine.

Bientôt des dérivés de LockBit ?

LockBit soutient que l'outil seul ne suffit pas à lancer un gang concurrent, car il faut avoir une certaine réputation, à la fois dans le milieu cybercriminel et auprès des victimes, pour fonctionner correctement.

Si cet argument se tient, les fuites de Babuk l'an dernier et Conti plus tôt dans l'année (suite à des cyberattaques) ont démontré que des cybercriminels saisissent l'opportunité pour lancer leur organisation. De nouveaux groupes cybercriminels avec des logiciels dérivés de LockBit devraient donc apparaître, d'autant plus qu'il est considéré comme un des plus efficace du marché. A titre de comparaison, l'équipe de recherche rattachée à The Record Future a identifié 140 "nouveaux" groupes de rançongiciels cette année, et ils utilisent en grande majorité du code de Conti (ou REvil, qui avait fuité encore avant).

Cependant, l'apparition de nouveaux gangs ne se traduit pas forcément par une augmentation proportionnelle du nombre d'attaques réussies. Les cybercriminels doivent trouver des partenaires capables de lancer correctement et efficacement les attaques, puis ils doivent apprendre à gérer la relation avec les victimes, tout en évitant de trop s'exposer aux autorités. Ils doivent aussi améliorer constamment leurs outils, pour qu'ils ne soient pas détectés et bloqués par les défenseurs. En résumé, le kit fuité peut servir de pierre fondatrice à une nouvelle organisation, mais il faut encore construire autour.

Seul point positif de ce drôle d'épisode : les chercheurs en cybersécurité vont pouvoir étudier le kit de développement et potentiellement en tirer des indicateurs qui leur permettront d'améliorer leurs propres outils.

François Manens
En direct - Transition Forum 2022

Sujets les + lus

|

Sujets les + commentés

Commentaires 5
à écrit le 26/09/2022 à 18:29
Signaler
Bonjour, Je reste toujours inquiet quand je vois des lignes de production enserrees dans un réseau informatique pour l'aspect pratique du responsable mais parfaitement inutile pour le fonctionnement car les automates n'en n'ont pas besoin et tournen...

à écrit le 25/09/2022 à 19:21
Signaler
Pendant ce temps; Le groupe de hackers qui a orchestré une cyberattaque contre le centre hospitalier sud francilien de Corbeil-Essonnes, a commencé vendredi à diffuser des données, l'hôpital ayant refusé de payer la rançon demandée.

à écrit le 25/09/2022 à 17:59
Signaler
le lien sur github ne contient qu un exe, pas le code source. pas grand interet. en tout cas impossible de partir de ca pour creer d autre virus

à écrit le 25/09/2022 à 13:59
Signaler
apres, si le code source est connu, ca permet aussi de plus facilement s'en proteger

à écrit le 24/09/2022 à 9:19
Signaler
Cela a l'air de ressembler aux epidemies que l'on nous signale avant parution pour nous maintenir en état de stress ! Donc... affaiblie ! ;-)

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.