Le FBI informe les victimes du ransomware LockBit qu'il a obtenu plus de 7 000 clés de déhiffrement LockBit

Qui pourraient permettre à certaines d'entre elles de déchiffrer leurs données

Un responsable du FBI a déclaré que l'agence avait obtenu plus de 7 000 clés de déchiffrement du ransomware LockBit et a invité les victimes à prendre contact avec son IC3.

LockBit est un groupe cybercriminel qui propose des ransomwares en tant que service (RaaS). Le logiciel de ransomware Lockbit proposé par le groupe permet à des acteurs malveillants prêts à payer pour l'utiliser de mener des attaques selon deux tactiques : non seulement ils chiffrent les données de la victime et exigent le paiement d'une rançon, mais ils menacent également de les divulguer publiquement si leurs demandes ne sont pas satisfaites.

Lors de la 2024 Boston Conference on Cyber Security (Juin 2024), Bryan Vorndran, directeur adjoint de la Cyber Division du FBI, a déclaré que l'agence pouvait aider les victimes à récupérer les données chiffrées par le ransomware LockBit.

Les victimes ont été invitées à s'adresser au Centre de plaintes pour les crimes sur Internet (IC3) du FBI. Les entités ciblées peuvent remplir un formulaire et seront contactées par l'agence. Les entités dont les fichiers ont été chiffrés par le ransomware LockBit 3.0 peuvent également essayer de récupérer leurs fichiers à l'aide d'un déchiffreur développé par la police japonaise, disponible sur le site web du projet NoMoreRansom.


Le logiciel malveillant LockBit aurait été utilisé dans plus de 2 400 attaques dans le monde, dont plus de 1 800 aux États-Unis. Les cybercriminels ont causé des milliards de dollars de dommages et ont reçu au moins 125 millions de dollars de rançons, mais les autorités policières affirment que les pirates ont conservé les données qu'ils ont volées, même celles des organisations qui ont payé une rançon.

Le ransomware LockBit a été la cible d'une action policière internationale dont les résultats ont été annoncés pour la première fois en février, lorsque des domaines LockBit ont été saisis et que des suspects ont été arrêtés. Les cybercriminels sont restés inflexibles, créant de nouveaux sites de fuite et continuant à annoncer de nouvelles victimes.

D'autre part, les autorités ont démasqué le cerveau présumé de l'opération. Dimitry Yuryevich Khoroshev, un ressortissant russe de 31 ans, a été inculpé et sanctionné. Le gouvernement américain a offert une récompense de 10 millions de dollars pour toute information sur les dirigeants de LockBit. M. Vorndran, du FBI, a déclaré que M. Khoroshev avait tenté de convaincre les autorités de le ménager en dénonçant ses concurrents, en citant d'autres opérateurs de ransomware-as-a-service, ajoutant : "Nous ne le ménagerons pas".


Voici les points importants de la déclaration de Bryan Vorndran lors de la conférence 2024 Boston sur la cybersécurité :

[QUOTE]
Je voudrais commencer par évoquer brièvement la manière dont le FBI met en œuvre sa stratégie pour perturber nos cyberadversaires. Tout d'abord, compte tenu de l'histoire du FBI, il n'est pas surprenant que l'un de nos principaux objectifs soit d'enquêter sur les cyberactivités et d'en attribuer la cause afin de perturber les cybercriminels et d'augmenter le coût de leurs opérations. En définitive, nous voulons punir les cybercriminels et les mettre hors-jeu.

Ensuite, nous devons recueillir et rendre opérationnels les renseignements nationaux afin de favoriser la récupération des victimes et de soutenir l'activité opérationnelle ou, comme nous le disons, nous devons exercer une pression sur les menaces communes auxquelles nous sommes confrontés. Nous exerçons une pression sur ces menaces communes en lançant des opérations conjointes et séquencées et des opérations en réseau pour riposter aux cyberadversaires à partir d'une position nationale et comme point d'appui pour l'engagement des partenaires de l'USIC [U.S. Intelligence Community]. Il s'agit d'une approche "tous les outils, tous les partenaires". Nous cherchons à nous associer à des partenaires nationaux et internationaux, tant dans le secteur public que dans le secteur privé. C'est ainsi que nous avons l'impact le plus important sur nos adversaires.

Enfin, la dernière façon de mettre en œuvre la stratégie cybernétique du FBI est peut-être la plus importante : l'engagement des victimes. Nous devons apporter une réponse rapide et complète à la menace et un soutien aux victimes à la suite d'intrusions cybernétiques importantes, alors quelles sont les autorités qui nous permettent de faire notre travail.

Brièvement :

• Nous sommes habilités par le titre 18 à enquêter sur les intrusions informatiques.
• Nous disposons de pouvoirs spécifiques dans le cadre de la règle 41, qui régit les perquisitions et les saisies, permettant au FBI de saisir les logiciels malveillants installés clandestinement sur les infrastructures américaines par nos adversaires.
• Nous disposons de pouvoirs spécifiques en matière de contre-espionnage qui permettent au FBI d'être pleinement impliqué dans les campagnes menées par des États-nations contre des organisations basées aux États-Unis.
• Enfin, nous disposons de l'autorité de la FISA [Foreign Intelligence Surveillance Act], y compris le titre 1, le titre 3 et la section 702. Les titres I et III de la FISA régissent les activités du FBI à l'intérieur des États-Unis, tandis que la section 702 de la FISA régit la collecte de données par le FBI en dehors des États-Unis. Ces pouvoirs créent logiquement deux moitiés, les enquêtes sur la cybercriminalité et sur la sécurité nationale.
  

La quasi-totalité des criminels qui développent des logiciels malveillants sophistiqués pour permettre des attaques par ransomware sont basés dans des pays russophones et opèrent comme des syndicats du crime organisé, semblables aux éléments traditionnels du crime organisé. Ils ont l'esprit d'entreprise et ont réussi à abaisser les barrières à l'entrée grâce au ransomware en tant que service. Ce modèle d'entreprise repose sur quatre services clés : l'infrastructure, les communications, les logiciels malveillants et la monnaie.

En ce qui concerne le service clé des logiciels malveillants, des codeurs de logiciels malveillants hautement qualifiés développent des logiciels malveillants de plus en plus sophistiqués. Leur modèle d'affiliation permet à des criminels moins compétents sur le plan technique, qui ne sont pas connus des dirigeants de l'entreprise, de déployer des logiciels malveillants très sophistiqués pour leur profit personnel, tout en reversant un pourcentage de leurs recettes aux codeurs de logiciels malveillants les plus compétents.

L'objectif de toute organisation devrait être de prévenir ces attaques, et les efforts de prévention devraient être proportionnels au temps d'indisponibilité acceptable. Si le temps d'indisponibilité acceptable est d'une journée, l'intensification des efforts de prévention doit être une priorité absolue. Si aucune mesure efficace n'est prise avant la violation, une organisation peut se retrouver entièrement dépendante de l'honnêteté et de l'intégrité des mauvais acteurs pour récupérer ses données.

Parlons de l'identification de la cible. Les acteurs des ransomwares évaluent trois éléments clés.

• Premièrement, qui peut être facilement ciblé ?
• Deuxièmement, qui est susceptible de payer en fonction des dommages causés à la marque ?
• Enfin, qui paiera le plus ?
  

En d'autres termes, qui ne dispose pas d'une bonne défense nette, qui est disposé à payer et qui subira l'impact économique le plus important du chiffrement de ses systèmes clés ? Les attaques par ransomware sont presque toujours couplées à un vol de données - que nous appelons double extorsion - ou à un vol de données et à un harcèlement des victimes et des responsables de l'entreprise, appelé triple extorsion.

Permettez-moi de faire une remarque supplémentaire : lorsque des entreprises sont victimes d'extorsion et choisissent de payer pour empêcher la fuite de données, elles paient pour empêcher la divulgation de données dans l'immédiat, et non dans le futur. Même si vous récupérez les données des mains des criminels, vous devez supposer qu'elles peuvent un jour être divulguées, ou que vous pouvez un jour faire l'objet d'une nouvelle extorsion pour les mêmes données.

Lorsque nous nous attaquons aux finances, à l'infrastructure et aux acteurs de la cybercriminalité, nous nous concentrons tout particulièrement sur la perturbation des services clés. L'une des grandes avancées de la spécialisation est que les codeurs malveillants peuvent écrire des logiciels malveillants et en vendre l'accès à d'autres criminels qui souhaitent les utiliser pour attaquer ou infecter les systèmes informatiques de leurs victimes. En nous attaquant à ce service clé, nous pouvons avoir un impact massif sur la cybercriminalité.

Il y a tout juste une semaine, nos bureaux locaux de Charlotte, Indianapolis, Jacksonville, Los Angeles et Cleveland ont collaboré avec le service d'enquête criminelle de la défense et les services secrets américains, ainsi qu'avec des partenaires internationaux du Danemark, de France, d'Allemagne et des Pays-Bas, pour mener une opération technique contre quatre groupes qui proposent des logiciels malveillants en tant que service, dans le cadre de la première opération de ce type jamais réalisée.

Cette opération, baptisée Endgame, a permis de vaincre de nombreuses variantes de logiciels malveillants, de mettre hors service plus de 100 serveurs et de démanteler l'infrastructure de quatre logiciels malveillants de premier plan, responsables de centaines de millions de dollars de dommages et ayant même compromis le système en ligne de soins intensifs dont un hôpital avait besoin pour maintenir ses patients en vie.

En outre, les cinq pays qui ont mené l'opération technique ont collaboré avec les services répressifs du Portugal, de l'Ukraine et du Royaume-Uni, ainsi qu'avec Europol et Eurojust, afin d'arrêter et d'interroger des suspects, de procéder à des perquisitions et de saisir ou de mettre hors service des serveurs dans le monde entier. Nous continuons à recueillir des informations sur cette opération, mais c'est déjà un grand succès, ne serait-ce que pour la suppression des logiciels malveillants que ces groupes vendaient à d'autres criminels.

N'oublions pas non plus le cheval de Troie d'accès à distance Warzone, qui a fait l'objet d'une enquête par le bureau local du FBI à Boston, avec le soutien du bureau du procureur des États-Unis ici à Boston. Le RAT Warzone - acronyme anglais de Remote Access Trojan - permettait aux cybercriminels de parcourir les systèmes de fichiers des victimes, de faire des captures d'écran, d'enregistrer les frappes au clavier, de voler les noms d'utilisateur et les mots de passe des victimes et d'observer ces dernières par le biais de leurs caméras web, le tout à leur insu et sans leur permission.

En février 2024, la Boston Cyber Task Force du FBI a mené une opération séquentielle conjointe avec les autorités du Nigeria et de Malte qui comprenait cinq lignes d'action :

• La saisie de quatre domaines ;
• La destruction de l'infrastructure qui facilitait les opérations de Warzone ;
• Le traçage et la saisie de cryptomonnaie ;
• l'achat clandestin du logiciel malveillant ; et
• l'arrestation, la condamnation et le jugement du principal intéressé au Nigéria.
  

Cette année, le FBI a également mené une opération complexe contre LockBit, une vaste opération qui fonctionnait selon un modèle de ransomware en tant que service.

LockBit a été créé par un codeur russe nommé Dimitri Khoroshev. Il conserve l'image d'un pirate de l'ombre, utilisant des pseudonymes en ligne tels que "Putinkrab", "Nerowolfe" et "LockBitsupp". Mais en réalité, il s'agit d'un criminel, plus pris par la bureaucratie de la gestion de son entreprise que par des activités secrètes. Pour l'essentiel, il octroie des licences pour le ransomware LockBit, ce qui permet à des centaines de groupes criminels affiliés de mener des opérations de racket.

En échange de l'utilisation de son logiciel, il reçoit une part de 20 % des rançons qu'ils collectent auprès de personnes et d'entreprises innocentes dans le monde entier. Pour aider ses affiliés à réussir, il leur fournit une assistance en matière d'hébergement et de stockage, en estimant les demandes de rançon optimales et en blanchissant de la cryptomonnaie. Il propose même des réductions pour les clients qui achètent beaucoup.

Ces escroqueries de LockBit fonctionnent de la même manière que les voyous locaux avaient l'habitude de demander de l'argent de protection aux commerçants. Les affiliés de LockBit volent vos données, les verrouillent et exigent un paiement pour vous rendre l'accès à vos données. Si vous payez la rançon, ils vous rendent l'accès à vos données. Mais ils en conservent également une copie et exigent parfois un second paiement pour ne pas divulguer vos informations personnelles ou confidentielles en ligne.

Depuis septembre 2019, Khoroshev a loué son virus et a permis à ses affiliés d'extorquer des personnes dans le monde entier. Ils ont utilisé le ransomware LockBit pour attaquer des personnes et des organisations dans les domaines des services financiers, de l'alimentation et de l'agriculture, de l'éducation, de l'énergie, des services gouvernementaux et d'urgence, des soins de santé, de l'industrie manufacturière et des transports. En 2022, LockBit était la variante de ransomware la plus déployée dans le monde. Il était utilisé par des centaines d'affiliés sans lien entre eux et était responsable de plus de 1 800 attaques aux États-Unis et de plus de 2 400 attaques dans le monde, causant des milliards de dollars de dommages aux victimes.

Le démantèlement de LockBit et de ses filiales est devenu un effort mondial, impliquant la collaboration du FBI avec des agences de 10 autres pays, en particulier l'Agence nationale britannique de lutte contre la criminalité, pendant plus de trois ans. En février, nous avons annoncé les résultats d'une opération technique majeure visant à perturber et à saisir l'infrastructure, ainsi qu'à imposer des sanctions à LockBit et à ses affiliés. Nous avons constaté que LockBit et ses affiliés détenaient toujours des données qu'ils avaient dit aux victimes de LockBit avoir supprimées - après avoir reçu des paiements de rançon.

M. Khoroshev a ensuite tenté d'obtenir notre indulgence en dénonçant ses concurrents, en nommant d'autres opérateurs de ransomware-as-a-service. C'est donc un peu comme si l'on avait affaire à des bandes criminelles organisées, où le chef se couche et demande de l'indulgence. Nous ne serons pas tendres avec lui. Le mois dernier, le ministère de la justice a levé les scellés sur les accusations de fraude, d'extorsion et d'autres délits portées contre lui et six co-conspirateurs. Au total, 26 chefs d'accusation ont été retenus contre Khoroshev. Le FBI poursuivra sans aucun doute ses efforts pour le traduire en justice ici, aux États-Unis.

En outre, grâce à la perturbation continue de LockBit, nous disposons maintenant de plus de 7 000 clés de déchiffrement et nous pouvons aider les victimes à récupérer leurs données et à se remettre en ligne. Nous tendons la main aux victimes connues de LockBit et encourageons toute personne qui pense avoir été victime à visiter notre centre de plaintes contre la criminalité sur Internet (Internet Crime Complaint Center) à l'adresse ic3.gov.

Je voudrais évoquer brièvement quelques réflexions sur l'écosystème cybercriminel. La chose la plus importante que vous puissiez faire, c'est de bien faire les choses de base et de les répéter. Des pratiques de cybersécurité bien établies - notamment l'authentification multifactorielle et la gestion des mots de passe, la journalisation efficace et la gestion des journaux, la gestion des vulnérabilités et des correctifs, et le maintien de sauvegardes aériennes, chiffrés et à jour - doivent être mises en œuvre de manière reproductible par l'ensemble de l'organisation.

Ensuite, il faut bien planifier. Ces plans doivent couvrir la continuité des activités, la gestion de crise, la reprise après sinistre et la réponse aux incidents d'intrusion informatique. Il est très important que ces plans ne soient pas élaborés et mis en œuvre de manière isolée. Il est également important que ces plans soient mis en œuvre au niveau opérationnel, au niveau de la direction et au niveau du conseil d'administration. L'objectif de ces exercices doit être de développer une synergie entre les décideurs ; et d'affiner votre processus de prise de décision.

D'après notre expérience, les exercices doivent se concentrer sur trois domaines clés :

• Premièrement, la communication. Les protocoles de communication interne et externe (et la prise de décision) devraient être le domaine d'intérêt numéro un de tous vos exercices.
• Le deuxième objectif est lié à une attaque de ransomware et se concentre sur la décision de payer ou ne pas payer. Si vous subissez une attaque de ransomware, votre organisation et son conseil d'administration ont-ils des attentes claires quant au moment où vous paierez ou ne paierez pas la rançon en fonction de l'impact sur l'organisation (par exemple, le temps d'indisponibilité) ?
• Le troisième objectif de vos exercices est de déterminer si vous partagerez ou non vos données avec le gouvernement américain. Ce sera probablement le sujet le plus débattu au cours de vos exercices. Et, même s'il y a un accord de partage, le deuxième point d'évaluation sera : Que voulons-nous partager ?
  
  Là encore, les organisations les mieux préparées ont travaillé sur plusieurs scénarios et ont planifié leurs décisions en fonction d'un grand nombre de variables. L'intégration d'un plan d'échange d'informations dans votre plan d'intervention en cas d'incident peut vous aider à vous préparer à impliquer le gouvernement américain le moment venu. Il est important que vos conseillers internes et externes contribuent à ce plan.
  
  Une dernière remarque sur les relations dont vous aurez besoin avant une intrusion : En supposant que vous fassiez appel à un conseil extérieur, quel est le seuil à partir duquel vous devez le faire ? Quelles sont les orientations que vous avez convenues avec le conseiller juridique en matière de partage d'informations ? Avez-vous discuté des rapports que l'avocat demandera à la tierce partie chargée de répondre à l'incident de rédiger (internes uniquement, confidentiels, non confidentiels) ? Qui retiendrez-vous pour l'intervention d'une tierce partie en cas d'incident, et quel est le seuil à partir duquel vous ferez appel à elle ? Ces personnes savent-elles quels rapports il leur sera demandé de rédiger pour la victime ?
  
  Les mêmes questions s'appliquent à votre assureur et à vos négociateurs. En ce qui concerne les assureurs, la règle d'or est la suivante : Votre avocat doit connaître le contenu de votre police d'assurance avant toute intrusion. Cela garantira l'efficacité de la prise de décision en temps de crise. Du point de vue du FBI, nous étudions actuellement les moyens d'impliquer plus globalement le secteur de l'assurance pour nous assurer que nous sommes un multiplicateur de force au bénéfice des victimes.

Avec les courtiers d'accès initial, les criminels ont la possibilité de louer autant de puissance qu'ils en ont besoin pour commettre leurs crimes et de la conserver aussi longtemps qu'ils en ont besoin.

Un autre modèle commercial pour les bots consiste à les regrouper en un réseau de bots massif et puissant, puis à en vendre l'utilisation. La semaine dernière, le FBI, en collaboration avec des partenaires en Thaïlande, à Singapour et en Allemagne, a perturbé le plus grand réseau de zombies et le plus grand service de proxy résidentiel au monde : 911 S5. Ce réseau de zombies avait fait des victimes parmi plus de 19 millions d'adresses IP dans près de 200 pays, dont au moins 600 000 rien qu'aux États-Unis. Il a été utilisé pour commettre des cyberattaques, des fraudes à grande échelle, des exploitations d'enfants, des harcèlements, des alertes à la bombe et des violations des règles d'exportation.

911 S5 aurait permis aux cybercriminels de contourner les systèmes de détection des fraudes financières et de voler des milliards de dollars aux institutions financières, aux émetteurs de cartes de crédit et aux programmes de prêts fédéraux. La plupart des fraudes permises par le botnet ont pris la forme de fausses demandes de fonds de secours en cas de pandémie, profitant des services gouvernementaux à un moment où les plus vulnérables d'entre nous avaient le plus besoin de cette aide. Plus d'un demi-million de demandes de chômage frauduleuses et plus de 47 000 demandes frauduleuses au titre du programme de prêts en cas de catastrophe économique ont ainsi été déposées.

Notre opération technique internationale a permis de saisir les domaines du botnet et 29 millions de dollars en cryptomonnaie. En outre, le Trésor américain a imposé des sanctions et l'administrateur du botnet, YunHe Wang, a été arrêté à l'étranger.

Lorsque nous parlons de ciblage par des États-nations, notre objectif collectif devrait se concentrer sur la détection précoce, l'endiguement et l'éviction. La Chine est la menace la plus prolifique. Les autres acteurs étatiques actifs sont la Russie, l'Iran et la Corée du Nord. Pour les entreprises du secteur privé, la menace étatique englobe l'espionnage d'entreprise, les attaques destructrices, les opérations d'influence et la collecte de renseignements, que ce soit par le biais d'actions adverses directes ou de collectes collatérales.

Comme nous l'avons vu dans SolarWinds, le SVR russe [service de renseignement extérieur russe] a ciblé de manière chirurgicale une poignée d'agences gouvernementales américaines par le biais d'une compromission sophistiquée de la chaîne d'approvisionnement basée sur des logiciels et, ce faisant, a compromis 18 000 entreprises supplémentaires, qui ont toutes été rendues vulnérables.

Je voudrais évoquer brièvement les applications tierces et le risque surdimensionné qu'elles représentent pour des secteurs ou des industries. Imaginons un instant qu'un secteur ou une industrie entière utilise une application tierce de niche, mais courante, pour faciliter ses activités. Cette application tierce courante est représentée par la boîte rouge sur l'écran. Du point de vue d'un adversaire, cibler cette application peut permettre à des criminels ou à un État-nation d'avoir un impact considérable sur l'ensemble d'un secteur ou d'une industrie.

C'est pourquoi, dans les secteurs et les industries, nous devons utiliser le terme pair au lieu de concurrent. Dans le cyberespace, si vous êtes pris pour cible, vos pairs du secteur et de l'industrie le sont aussi. Le partage d'informations avec vos pairs est absolument essentiel pour que des secteurs et des industries entiers soient plus résistants aux cybermenaces.

Revenons aux menaces elles-mêmes. Le vol de propriété intellectuelle (PI) ou d'informations personnelles identifiables (IPI), en particulier par la Chine, reste très probable. La Chine s'empare ensuite de cette propriété intellectuelle ou de ces informations et tente de les monnayer. Nous restons profondément préoccupés par la monétisation de la propriété intellectuelle volée à des fins économiques par la Chine.

Nous pourrions citer des centaines d'exemples, mais l'un d'entre eux a fait l'objet d'un débat public : la tentative de vol par la Chine de la recherche sur le vaccin COVID[-19] auprès de plusieurs universités américaines. Il en va de même dans d'autres domaines de la technologie et de la recherche émergentes, notamment l'intelligence artificielle et l'apprentissage automatique, l'informatique et les communications quantiques, l'énergie propre, etc.

Nous restons également très préoccupés par les compétences développées par les mandataires et les acteurs affiliés à l'État chinois et par leur travail au noir à des fins d'enrichissement personnel. Lorsque les acteurs ne sont pas contrôlés, ils opèrent avec moins de contraintes et chercheront sans aucun doute à tirer un profit personnel de leur travail officieux. Nous avons vu des pirates informatiques parrainés par la Chine compromettre des domaines State.gov des États-Unis pour diverses raisons, dont le profit. Pour réaliser ce gain monétaire, ces pirates parrainés par la Chine ont utilisé des informations nominatives volées.

Ensuite, le "hack and dumps" (piratage et vidage). C'est un terme dont vous n...