Le FBI informe les victimes du ransomware LockBit qu'il a obtenu plus de 7 000 clés de déhiffrement LockBit

Qui pourraient permettre à certaines d'entre elles de déchiffrer leurs données

Un responsable du FBI a déclaré que l'agence avait obtenu plus de 7 000 clés de déchiffrement du ransomware LockBit et a invité les victimes à prendre contact avec son IC3.

LockBit est un groupe cybercriminel qui propose des ransomwares en tant que service (RaaS). Le logiciel de ransomware Lockbit proposé par le groupe permet à des acteurs malveillants prêts à payer pour l'utiliser de mener des attaques selon deux tactiques : non seulement ils chiffrent les données de la victime et exigent le paiement d'une rançon, mais ils menacent également de les divulguer publiquement si leurs demandes ne sont pas satisfaites.

Lors de la 2024 Boston Conference on Cyber Security (Juin 2024), Bryan Vorndran, directeur adjoint de la Cyber Division du FBI, a déclaré que l'agence pouvait aider les victimes à récupérer les données chiffrées par le ransomware LockBit.

Les victimes ont été invitées à s'adresser au Centre de plaintes pour les crimes sur Internet (IC3) du FBI. Les entités ciblées peuvent remplir un formulaire et seront contactées par l'agence. Les entités dont les fichiers ont été chiffrés par le ransomware LockBit 3.0 peuvent également essayer de récupérer leurs fichiers à l'aide d'un déchiffreur développé par la police japonaise, disponible sur le site web du projet NoMoreRansom.


Le logiciel malveillant LockBit aurait été utilisé dans plus de 2 400 attaques dans le monde, dont plus de 1 800 aux États-Unis. Les cybercriminels ont causé des milliards de dollars de dommages et ont reçu au moins 125 millions de dollars de rançons, mais les autorités policières affirment que les pirates ont conservé les données qu'ils ont volées, même celles des organisations qui ont payé une rançon.

Le ransomware LockBit a été la cible d'une action policière internationale dont les résultats ont été annoncés pour la première fois en février, lorsque des domaines LockBit ont été saisis et que des suspects ont été arrêtés. Les cybercriminels sont restés inflexibles, créant de nouveaux sites de fuite et continuant à annoncer de nouvelles victimes.

D'autre part, les autorités ont démasqué le cerveau présumé de l'opération. Dimitry Yuryevich Khoroshev, un ressortissant russe de 31 ans, a été inculpé et sanctionné. Le gouvernement américain a offert une récompense de 10 millions de dollars pour toute information sur les dirigeants de LockBit. M. Vorndran, du FBI, a déclaré que M. Khoroshev avait tenté de convaincre les autorités de le ménager en dénonçant ses concurrents, en citant d'autres opérateurs de ransomware-as-a-service, ajoutant : "Nous ne le ménagerons pas".


Voici les points importants de la déclaration de Bryan Vorndran lors de la conférence 2024 Boston sur la cybersécurité :

[QUOTE]
Je voudrais commencer par évoquer brièvement la manière dont le FBI met en œuvre sa stratégie pour perturber nos cyberadversaires. Tout d'abord, compte tenu de l'histoire du FBI, il n'est pas surprenant que l'un de nos principaux objectifs soit d'enquêter sur les cyberactivités et d'en attribuer la cause afin de perturber les cybercriminels et d'augmenter le coût de leurs opérations. En définitive, nous voulons punir les cybercriminels et les mettre hors-jeu.

Ensuite, nous devons recueillir et rendre opérationnels les renseignements nationaux afin de favoriser la récupération des victimes et de soutenir l'activité opérationnelle ou, comme nous le disons, nous devons exercer une pression sur les menaces communes auxquelles nous sommes confrontés. Nous exerçons une pression sur ces menaces communes en lançant des opérations conjointes et séquencées et des opérations en réseau pour riposter aux cyberadversaires à partir d'une position nationale et comme point d'appui pour l'engagement des partenaires de l'USIC [U.S. Intelligence Community]. Il s'agit d'une approche "tous les outils, tous les partenaires". Nous cherchons à nous associer à des partenaires nationaux et internationaux, tant dans le secteur public que dans le secteur privé. C'est ainsi que nous avons l'impact le plus important sur nos adversaires.

Enfin, la dernière façon de mettre en œuvre la stratégie cybernétique du FBI est peut-être la plus importante : l'engagement des victimes. Nous devons apporter une réponse rapide et complète à la menace et un soutien aux victimes à la suite d'intrusions cybernétiques importantes, alors quelles sont les autorités qui nous permettent de faire notre travail.

Brièvement :

• Nous sommes habilités par le titre 18 à enquêter sur les intrusions informatiques.
• Nous disposons de pouvoirs spécifiques dans le cadre de la règle 41, qui régit les perquisitions et les saisies, permettant au FBI de saisir les logiciels malveillants installés clandestinement sur les infrastructures américaines par nos adversaires.
• Nous disposons de pouvoirs spécifiques en matière de contre-espionnage qui permettent au FBI d'être pleinement impliqué dans les campagnes menées par des États-nations contre des organisations basées aux États-Unis.
• Enfin, nous disposons de l'autorité de la FISA [Foreign Intelligence Surveillance Act], y compris le titre 1, le titre 3 et la section 702. Les titres I et III de la FISA régissent les activités du FBI à l'intérieur des États-Unis, tandis que la section 702 de la FISA régit la collecte de données par le FBI en dehors des États-Unis. Ces pouvoirs créent logiquement deux moitiés, les enquêtes sur la cybercriminalité et sur la sécurité nationale.
  

La quasi-totalité des criminels qui développent des logiciels malveillants sophistiqués pour permettre des attaques par ransomware sont basés dans des pays russophones et opèrent comme des syndicats du crime organisé, semblables aux éléments traditionnels du crime organisé. Ils ont l'esprit d'entreprise et ont réussi à abaisser les barrières à l'entrée grâce au ransomware en tant que service. Ce modèle d'entreprise repose sur quatre services clés : l'infrastructure, les communications, les logiciels malveillants et la monnaie.

En ce qui concerne le service clé des logiciels malveillants, des codeurs de logiciels malveillants hautement qualifiés développent des logiciels malveillants de plus en plus sophistiqués. Leur modèle d'affiliation permet à des criminels moins compétents sur le plan technique, qui ne sont pas connus des dirigeants de l'entreprise, de déployer des logiciels malveillants très sophistiqués pour leur profit personnel, tout en reversant un pourcentage de leurs recettes aux codeurs de logiciels malveillants les plus compétents.

L'objectif de toute organisation devrait être de prévenir ces attaques, et les efforts de prévention devraient être proportionnels au temps d'indisponibilité acceptable. Si le temps d'indisponibilité acceptable est d'une journée, l'intensification des efforts de prévention doit être une priorité absolue. Si aucune mesure efficace n'est prise avant la violation, une organisation peut se retrouver entièrement dépendante de l'honnêteté et de l'intégrité des mauvais acteurs pour récupérer ses données.

Parlons de l'identification de la cible. Les acteurs des ransomwares évaluent trois éléments clés.

• Premièrement, qui peut être facilement ciblé ?
• Deuxièmement, qui est susceptible de payer en fonction des dommages causés à la marque ?
• Enfin, qui paiera le plus ?
  

En d'autres termes, qui ne dispose pas d'une bonne défense nette, qui est disposé à payer et qui subira l'impact économique le plus important du chiffrement de ses systèmes clés ? Les attaques par ransomware sont presque toujours couplées à un vol de données - que nous appelons double extorsion - ou à un vol de données et à un harcèlement des victimes et des responsables de l'entreprise, appelé triple extorsion.

Permettez-moi de faire une remarque supplémentaire : lorsque des entreprises sont victimes d'extorsion et choisissent de payer pour empêcher la fuite de données, elles paient pour empêcher la divulgation de données dans l'immédiat, et non dans le futur. Même si vous récupérez les données des mains des criminels, vous devez supposer qu'elles peuvent un jour être divulguées, ou que vous pouvez un jour faire l'objet d'une nouvelle extorsion pour les mêmes données.

Lorsque nous nous attaquons aux finances, à l'infrastructure et aux acteurs de la cybercriminalité, nous nous concentrons tout particulièrement sur la perturbation des services clés. L'une des grandes avancées de la spécialisation est que les codeurs malveillants peuvent écrire des logiciels malveillants et en vendre l'accès à d'autres criminels qui souhaitent les utiliser pour attaquer ou infecter les systèmes informatiques de leurs victimes. En nous attaquant à ce service clé, nous pouvons avoir un impact massif sur la cybercriminalité.

Il y a tout juste une semaine, nos bureaux locaux de Charlotte, Indianapolis, Jacksonville, Los Angeles et Cleveland ont collaboré avec le service d'enquête criminelle de la défense et les services secrets américains, ainsi qu'avec des partenaires internationaux du Danemark, de France, d'Allemagne et des Pays-Bas, pour mener une opération technique contre quatre groupes qui proposent des logiciels malveillants en tant que service, dans le cadre de la première opération de ce type jamais réalisée.

Cette opération, baptisée Endgame, a permis de vaincre de nombreuses variantes de logiciels malveillants, de mettre hors service plus de 100 serveurs et de démanteler l'infrastructure de quatre logiciels malveillants de premier plan, responsables de centaines de millions de dollars de dommages et ayant même compromis le système en ligne de soins intensifs dont un hôpital avait besoin pour maintenir ses patients en vie.

En outre, les cinq pays qui ont mené l'opération technique ont collaboré avec les services répressifs du Portugal, de l'Ukraine et du Royaume-Uni, ainsi qu'avec Europol et Eurojust, afin d'arrêter et d'interroger des suspects, de procéder à des perquisitions et de saisir ou de mettre hors service des serveurs dans le monde entier. Nous continuons à recueillir des informations sur cette opération, mais c'est déjà un grand succès, ne serait-ce que pour la suppression des logiciels malveillants que ces groupes vendaient à d'autres criminels.

N'oublions pas non plus le cheval de Troie d'accès à distance Warzone, qui a fait l'objet d'une enquête par le bureau local du FBI à Boston, avec le soutien du bureau du procureur des États-Unis ici à Boston. Le RAT Warzone - acronyme anglais de Remote Access Trojan - permettait aux cybercriminels de parcourir les systèmes de fichiers des victimes, de faire des captures d'écran, d'enregistrer les frappes au clavier, de voler les noms d'utilisateur et les mots de passe des victimes et d'observer ces dernières par le biais de leurs caméras web, le tout à leur insu et sans leur permission.

En février 2024, la Boston Cyber Task Force du FBI a mené une opération séquentielle conjointe avec les autorités du Nigeria et de Malte qui comprenait cinq lignes d'action :

• La saisie de quatre domaines ;
• La destruction de l'infrastructure qui facilitait les opérations de Warzone ;
• Le traçage et la saisie de cryptomonnaie ;
• l'achat clandestin du logiciel malveillant ; et
• l'arrestation, la condamnation et le jugement du principal intéressé au Nigéria.
  

Cette année, le FBI a également mené une opération complexe contre LockBit, une vaste opération qui fonctionnait selon un modèle de ransomware en tant que service.

LockBit a été créé par un codeur russe nommé Dimitri Khoroshev. Il conserve l'image d'un pirate de l'ombre, utilisant des pseudonymes en ligne tels que "Putinkrab", "Nerowolfe" et "LockBitsupp". Mais en réalité, il s'agit d'un criminel, plus pris par la bureaucratie de la gestion de son entreprise que par des activités secrètes. Pour l'essentiel, il octroie des licences pour le ransomware LockBit, ce qui permet à des centaines de groupes criminels affiliés de mener des opérations de racket.

En échange de l'utilisation de son logiciel, il reçoit une part de 20 % des rançons qu'ils collectent auprès de personnes et d'entreprises innocentes dans le monde entier. Pour aider ses affiliés à réussir, il leur fournit une assistance en matière d'hébergement et de stockage, en estimant les demandes de rançon optimales et en blanchissant de la cryptomonnaie. Il propose même des réductions pour les clients qui achètent beaucoup.

Ces escroqueries de LockBit fonctionnent de la même manière que les voyous locaux avaient l'habitude de demander de l'argent de protection aux commerçants. Les affiliés de LockBit volent vos données, les verrouillent et exigent un paiement pour vous rendre l'accès à vos données. Si vous payez la rançon, ils vous rendent l'accès à vos données. Mais ils en conservent également une copie et exigent parfois un second paiement pour ne pas divulguer vos informations personnelles ou confidentielles en ligne.

Depuis septembre 2019, Khoroshev a loué son virus et a permis à ses affiliés d'extorquer des personnes dans le monde entier. Ils ont utilisé le ransomware LockBit pour attaquer des personnes et des organisations dans les domaines des services financiers, de l'alimentation et de l'agriculture, de l'éducation, de l'énergie, des services gouvernementaux et d'urgence, des soins de santé, de l'industrie manufacturière et des transports. En 2022, LockBit était la variante de ransomware la plus déployée dans le monde. Il était utilisé par des centaines d'affiliés sans lien entre eux et était responsable de plus de 1 800 attaques aux États-Unis et de plus de 2 400 attaques dans le monde, causant des milliards de dollars de dommages aux victimes.

Le démantèlement de LockBit et de ses filiales est devenu un effort mondial, impliquant la collaboration du FBI avec des agences de 10 autres pays, en particulier l'Agence nationale britannique de lutte contre la criminalité, pendant...