LockBit : quatre arrestations dans le cadre de l’opération Cronos
Les autorités confirment l’impact de leurs activités pour nuire à celles de la franchise mafieuse LockBit 3.0. Elles font en outre état de quatre arrestations et montrent comment LockBitSupp a leurré ses victimes et même ses affidés.
Europol, l’agence britannique de lutte contre la criminalité (NCA) et le ministère de la Justice américain viennent de publier de nouveaux développements liés à leur opération Cronos contre LockBit 3.0. Et cela commence par plusieurs interpellations.
La Gendarmerie nationale a ainsi obtenu l’arrestation d’un potentiel développeur du ransomware LockBit « alors qu’il était en vacances en dehors de Russie », en août. Il fait l’objet d’une demande d’extradition.
Toujours en août, deux acteurs suspectés d’être impliqués dans les activités de la franchise LockBit 3.0 ont été interpellés par la NCA. Les deux sont suspectés de blanchiment d’argent, et l’un est en outre suspecté de chantage. C’est l’analyse des données collectées antérieurement dans le cadre de l’opération Cronos qui a, selon l’agence britannique, permis d’identifier les individus concernés.
Enfin, la Guardia Civil espagnole a arrêté « un suspect clé à l’aéroport de Madrid ». Il est présenté comme propriétaire d’un hébergeur dit « bullet proof », à savoir ne répondant pas aux requêtes judiciaires : « il était l’un des principaux facilitateurs d’infrastructure pour LockBit ». Neuf serveurs associés à celle-ci ont été saisis au passage. L’occasion de collecter des données additionnelles qui seront analysées, à la recherche d’indications sur les affidés de la franchise.
Une opération aux effets bien réels
Selon la NCA, l’opération Cronos « a réussi à perturber le groupe LockBit ». Et la franchise « souffre désormais d’une capacité opérationnelle réduite, d’un engagement moindre de la part de ses affiliés et entreprend un nombre réduit d’attaques ».
Qui plus est, « LockBit a perdu des affiliés, dont certains se sont probablement tournés vers d’autres fournisseurs de Ransomware-as-a-Service à la suite de l’opération Cronos ». L’évolution observable de son niveau d’activité, comparé à celui de l’enseigne RansomHub, conforte ces affirmations.
En outre, « le groupe LockBit a eu recours à la duplication des victimes déclarées, très certainement pour augmenter le nombre de victimes et masquer l’impact de l’opération Cronos. Parmi les victimes importantes revendiquées depuis le démantèlement, deux tiers sont des mensonges complets de LockBit (quelle surprise !), et le tiers restant ne peut pas être vérifié comme étant de vraies victimes ».
Ces affirmations sont cohérentes avec les constatations réalisées sur les revendications publiées sur le site vitrine de l’enseigne.
Petits mensonges entre amis
Cette capacité de recyclage de revendications – et des données associées – n’apparaît pas surprenante : selon la NCA, l’infrastructure de LockBit a été « spécifiquement conçue pour ne pas effacer automatiquement les données » des victimes ayant cédé au chantage. Et ceci à l’insu des affidés eux-mêmes.
En fait, dans la base de données de LockBit 3.0, ce sont les données de quasiment toutes les victimes de 2023 qui n’ont pas été effacées. Accessoirement, cela vaut aussi pour les revendications des victimes qui sont supprimées de la page d’accueil de la vitrine : le lien vers la page individuelle de revendication reste valide après ce déréférencement.