Ransomware #2 : la main invisible
Concurrence débridée entre gangs cybercriminels. En guest star, le groupe LockBit
Dans l'écosystème cybercriminel des « Ransomware-as-a-Service», le groupe arrive sur le tard. Mais lorsqu'il rentre dans la danse, en 2019, il affiche clairement ses ambitions. Retour sur l'épopée de « Lockbit », qui conduira le gang jusqu'aux sommets en 2023. Et pour 2024, la chute ?
L'expert Jon DiMaggio travaille pour la société Analyst1, spécialisée dans le renseignement sur les menaces numériques. En janvier 2023, il publie un long rapport sur le groupe Lockbit, fruit de ses infiltrations sur les forums underground cybercriminels. Il décrit un gang à l'image de son leader et porte-parole haut en couleur :
« L'individu qui dirige actuellement l'opération ransomware de Lockbit, utilisant le persona LockBitSupp, montre des traits narcissiques qui nourrissent son ego toujours grandissant. Ces derniers mois, le sentiment négatif envers sa personne n'a fait qu'augmenter, poussé par les commentaires arrogants sur les forums et les interviews aux médias. Beaucoup de criminels n'apprécient pas l'approche « m'as-tu-vu » du groupe LockBit, en ont assez de ses coups publicitaires ».
En 2021, LockBitSupp donne deux interviews, aux analystes de Vx-Underground et à la chaine Youtube russe RUSSIA OSINT. Il y affirme ne plus résider en Russie, mais habiter la Chine… ou les Pays-Bas… ou Hong Kong... ou même les États-Unis. Il utiliserait le réseau Starlink de Elon Musk pour accéder à son infrastructure. Son trésor de guerre serait stocké sur deux clefs USB, une qu'il porterait en permanence à son cou, l'autre conservée en lieu sûr. Et il serait l'heureux propriétaire de trois restaurants en Chine et deux à New York.
En réponse à un utilisateur qui demandait des conseils pour un tatouage, LockBitSupp propose de payer toute personne se tatouant le logo du groupe. La blague s'emballe et les médias s'emparent de l'affaire, obligeant le groupe à assumer ses propos. Un coup publicitaire bien à l'opposé du silence qu'on imagine en vigueur dans les milieux criminels. Mais LockBitSupp n'en a cure. À la question d'un journaliste sur le pourquoi de la création de LocksBit, le leader répond : « Les autres groupes sont des autistes ou des drogués ».
Une cyber-startup pleine d'avenir
L'opération LockBit est lancée en septembre 2019. La première souche est simple, jusqu'à son nom, dérivé de l'extension des fichiers rançonnés : « ABCD ransomware ». L'acteur malicieux compromet avec succès plusieurs victimes, encaissant ainsi quelques rançons de l'ordre des 30.000 dollars. Juste de quoi s'échauffer.
Sept mois plus tard, le gang lance son programme RAAS (« Ransomeware-As-A-Service ») mettant ainsi sa nouvelle souche « LockBit » au service de hackers affiliés. Un produit en avance sur la concurrence. La souche virale promet des vitesses de chiffrement ultra-rapide, réduisant ainsi la fenêtre d'intervention possible pour les victimes alertées par les signaux faibles de l'attaque. Le virus se propage tout seul sur les réseaux d'entreprises, réduisant la charge de travail des hackers. La nouvelle marque « LockBit » embarque également un système de discussion anonymisé permettant de mener les négociations avec les victimes, en tout confort et en toute sécurité.
En juin 2020, le groupe lance une campagne marketing en sponsorisant un « Défi de l'été », qui appelle des contributeurs à publier des articles sur les techniques de piratage. La communauté criminelle pourra alors voter pour les meilleurs papiers avec des prix de 1.000 à 5.000 dollars pour les gagnants. Un podcast de RecordedFuture raconte comment BasterLord, vivant à Lugansk dans le Donbass, a soumis un tutoriel sur les méthodes de spam offensives et s'est attiré le commentaire « brillant! » de LockBit. Et voilà le prometteur Basterlord recruté pour le programme d'affiliés du groupe.
À la même époque, LockBit annonce rejoindre trois autres gangs dans la formation d'un cartel cybercriminel. L'alliance s'est faite connaitre par un communiqué du gang Twisted Spider, auteur du malware Maze. L'association de malfaiteurs inclut le groupe Wizard Spider et son logiciel malveillant Conti, ainsi que le groupe Viking Spider connu pour sa souche RagnarLocker. Pendant un certain temps, les quatre gangs vont, à l'occasion, partager techniques d'intrusion, données dérobées et infrastructures informatiques. Mais pour l'expert Jon DiMaggio, ce cartel n'est que de façade, une opération de communication beaucoup moins solide qu'il n'y parait. Le cartel se dissout en effet un an plus tard, ayant probablement un peu trop attiré l'attention des autorités. Twisted Spider, gang fondateur, s'en retire et se fait beaucoup plus discret.
Pour LockBit, l'opération a été une aubaine pour consolider sa réputation et renforcer l'image de sa marque. L'affaire montre également que le gang est bien connecté à la scène cybercriminelle. Une scène dont les acteurs se connaissent, interagissent, s'aidant parfois, rivalisant à d'autres moments. Dans l'interview donnée début 2021, le leader affirme être un vétéran du milieu. Et pourtant, les experts n'ont pas, à l'heure actuelle, retracé l'histoire du gang et de son malware. Sur les origines du groupe, le mystère demeure.
En 2021, LockBit sort une nouvelle version de sa souche malicieuse, surnommée LockBitRed. Elle comprend de nouvelles fonctionnalités prometteuses : la désactivation des mesures de sécurité du système, l'allumage des machines endormies sur le réseau, l'effacement des « copies de l'ombre » ou encore l'exploitation automatisée des trous dans les politiques de sécurité Windows. La vitesse de chiffrement des victimes a encore été améliorée.
Coté service, LockBit publie un nouveau système de paiement des rançons. Celles-ci sont versées directement aux affilés, le groupe recevant sa commission dans un deuxième temps. Les hackers affiliés, mis en confiance, se voient également proposer un nouvel outil, StealBit, pour exfiltrer les données de la victime de manière discrète vers une infrastructure maintenue par le gang. L'ensemble de la solution logicielle est pilotée par un tableau de bord « point and click », rendant les attaques plus faciles et plus rapides.
Avec une commission plus basse que tous ses concurrents, LockBit devient incontournable pour tout groupe de hackers affilé.
Les bitcoins n'ont pas d'odeur
La startup LockBit est passée d'acteur émergent au carré de tête en moins d'un an. Une réussite sur laquelle le groupe n'entend pas se reposer. Pour passer devant les poids lourds de tête, LockBit compte bien prendre quelques raccourcis et donner des coups bas.
REvil, un de ses concurrents directs, va être la première cible. Le gang est tombé dans le viseur des autorités américaines après l'affaire du Colonial Pipeline. Lorsque les clefs de déchiffrement de l'attaque Kesaya se retrouvent dans les mains du FBI, LockBitSupp va choisir d'interpeller REvil publiquement sur les forums underground, les accusant, à demi-mot, d'avoir collaboré.
Deux semaines plus tard, des chercheurs découvrent une backdoor (ou porte dérobée) dans le ransomware de REvil. Un moyen dont le gang se serait servi pour espionner les négociations de ses affiliés et en détourner les plus fructueuses. Pour certains, ce n'est pas vraiment une nouvelle. En mai, un affilié de REvil avait déposé plainte devant la cour de justice de l'underground, une instance composée des principaux utilisateurs du forum et habilités à juger les contentieux entre pirates. LockBitSupp ressort la plainte et commente : « D'autres affiliés qui nous ont rejoint après avoir quitté REvil nous ont dit la même chose ».
La campagne de dénigrement n'en reste pas là. Après une attaque de ransomware sur une clinique, pendant laquelle une femme enceinte perd son enfant, LockBit reposte la nouvelle dans les forums cybercriminels avec ce commentaire : « Dites bonjour à REvil et à Hive ! ». Un message destiné à traiter ses deux concurrents de tueurs d'enfants. Ironique, pour un groupe qui ne s'est jamais privé d'attaquer également les hôpitaux, des cibles qui « payent bien ». Quelques jours plus tard, REvil, harcelé par le FBI puis les autorités russes, fermera définitivement ses portes.
Une marche de gravie.
À l'automne 2021, LockBit engrange un autre beau succès. Lassé par les déboires de son groupe, DarkSide, un développeur expérimenté rejoint LockBit, qui lui ouvre ses portes. Au passage, le gang récupère la dernière souche d'un malware que le développeur emporte avec lui. Jusque là, DarkSide voyait en LockBit un allié. Entre les deux gangs, l'ambiance va s'échauffer sur les forums. LockBitSupp renvoie DarkSide dans les cordes : « Vous avez merdé avec vos affiliés dans cette histoire de Colonial Pipeline, le développeur a été assez malin pour faire défection chez nous. On a corrigé vos bugs et vos fuites de mémoires ».
Reste alors Conti, groupe historique, solide premier, que les rumeurs disent lié au FSB. Le déclenchement de la guerre en Ukraine va fournir l'opportunité que LockBit attend. Dès le début des hostilités, Conti va prendre position : « L'équipe de Conti annonce officiellement son soutien au gouvernement Russe. Contre quiconque décide d'organiser des cyberattaques ou des activités guerrières contre la Russie, nous utiliserons toutes nos ressources pour contre-attaquer contre l'infrastructure ennemie ». Dans la foulée, LockBit va publier un communiqué : « Pour nous, il ne s'agit que de business, nous sommes apolitiques. Nous sommes seulement intéressés par l'argent pour notre travail inoffensif et utile ». Conti tentera de rétropédaler, trop tard.
La scène cybercriminelle unissait jusqu'alors hackers russes et ukrainiens agissant de concert. La guerre va provoquer un schisme entre frères ennemis. Et avec sa prise de position radicale, Conti va être le premier à en faire les frais. Quelques jours après l'annonce, un compte Twitter commence à diffuser les conversations internes que le groupe a tenu sur sa messagerie. En quelques mois, un ancien affilié Ukrainien fait fuiter ainsi plusieurs années de petits secrets du gang, obligeant Conti à prendre du recul.
Pour LockBit, l'horizon s'est libéré.
« Attaquer un million d'entreprises »
Sur le papier, l'année 2023 va être, pour LockBit, l'année de tous les accomplissements. Le service s'impose sur tous les fronts. La marque engrange deux attaques en moyenne par jour, deux fois plus que ses concurrents. Entre juin 2022 et février 2024, son bénéfice estimé s'élèvera à 125 millions de dollars, une grosse part ne représentant que les 20% de commissions reversées par ses affiliés. Mais la cyberentreprise pirate a-t-elle voulu aller trop vite, trop loin ?
Déjà, fin 2022, la sortie de son nouveau malware, LockBitBlack, ne s'est pas déroulée comme prévu. Ainsi, un compte Telegram annonce avoir piraté LockBit et publie le code source de la nouvelle souche. Les forums cyber-criminels bruissent de rumeurs, puis la réponse de LockBitSupp tombe : la source de la fuite est le fameux développeur débauché à Darkside : « Fatigué de travailler, inquiet pour la planète, alcoolique et prenant des pilules, paranoïaque et avec des problèmes mentaux. [..] Suite aux délais, j'ai refusé de le payer et proposé une médiation qu'il a refusée. [...] Fier, il a voulu prendre sa revanche. Le temps dira s'il a eu raison, Dieu sera son juge ». Le développeur, en cavale, donnera sa version dans les médias. Il serait parti de son plein gré à cause de différents financiers. Et depuis son départ, Lockbit n'aurait plus de support technique.
L'année 2023 passe, bon an mal an, les problèmes techniques restant sous le tapis. LocksBitSupp est également banni de deux des principaux forums underground après la plainte d'un affilié trompé. Mais l'épée de Damoclès va réellement tomber en 2024.
Le 20 février, sous le nom d'opération Cronos, 34 serveurs sont saisis à travers l'Europe, le Royaume-Uni et les États-Unis. Quelque 200 comptes de cryptomonnaies sont gelés, pour une valeur de 110 millions de dollars. Les autorités s'introduisent sur le panneau de contrôle de l'infrastructure du gang, accédant aux données des affiliés et aux clefs de chiffrement des dernières victimes. La dernière version de la souche malicieuse LockBit est saisie. Les autorités modifient le site vitrine du gang en s'inspirant de sa charte graphique pour annoncer au monde la capture de criminels ou les sommes saisies.
Quelques heures plus tard, LockBitSupp enverra un communiqué au site Vx-Underground et s'exprimera, dans la foulée, lors d'un interview avec Recorded Future :
« Ma première pensée a été que mes pires peurs venaient de se réaliser. Je savais qu'un jour ou l'autre, le FBI allait me hacker et c'était fait. Et puis j'ai compris comment ils avaient fait, je me suis calmé et j'ai commencé à remettre en place mon infrastructure ». « Je prends cela comme une publicité supplémentaire, une opportunité pour montrer ma force de caractère. Je ne peux pas me laisser intimider. »
« Non, le FBI ne me met pas en colère, ils me donnent des leçons, me rendent plus fort. J'adore le FBI, sans eux ma vie ne serait pas aussi fun. Et ils font juste leur boulot, alors pourquoi être en colère ».
Deux mois plus tard, les autorités remettent le couvert et divulgent le nom de la personne accusée d'être derrière le persona LockBitSupp : Dmitry Khroshev, un entrepreneur de 32 ans vivant dans la région de Voronezh en Russie. Le groupe Lockbit a démenti, incitant le Dmitry en question à se faire connaitre pour se protéger. Il a même annoncé une compétition pour contacter Dmitry et prouver qu'il est en bonne santé.
L'infrastructure de Lockbit a été recréé et le gang a commencé à ajouter de nouvelles victimes à son tableau de chasse. Il semble poursuivre le but annoncé par son leader :
« Mon objectif dans la vie est d'attaquer un million d'entreprises à travers le monde et d'entrer dans l'histoire comme le programme ransomware le plus destructif »
