Supposé démantelé, LockBit semble reprendre ses activités

Clément Bohic,
Linkedin
LockBit

Un site aux couleurs de LockBit 3.0 est réapparu ce week-end. Et avec lui, un message qui suggère une reprise d’activité.

LockBit, vraiment démantelé ? Ce qui s’est passé ce week-end n’en donne pas l’impression.

Des sites au nom et aux couleurs du groupe sont réapparus sur le darkweb. L’un d’entre eux liste une douzaine de victimes revendiquées… dont un groupe français : IDEA (prestataire logistique). Il comprend une entrée « fbi.gov ». Le lien qui s’y trouve ne mène pas vers des données volées, mais vers un message, en anglais et en russe. Y est retracée, à la première personne, une chronologie des événements de la semaine passée.

« Le 19 février, des tests de pénétration ont eu lieu sur deux de mes serveurs. À 6 h 39 UTC, j’ai découvert une erreur 502 sur le site. » Ainsi débute ce récit. Il y est question d’une faille PHP (CVE-2023-3824). C’est elle qui aurait permis l’accès à l’infrastructure de LockBit. Ou plus précisément à une partie : « Si je n’avais pas eu des serveurs de sauvegarde sans PHP, je ne me serais probablement pas rendu compte du hack », peut-on lire.

Ces serveurs, nous affirme-t-on, sont intègres. Ils continuent donc à héberger les données volées. On peut effectivement encore accéder au téléchargement de ces dernières. Y sont associés, entre autres, le département de l’Ardèche (360 Mo de données), la commune de Saint-Cloud (13 Mo) et le portail justice.fr (6 Go). Ils voisinent avec plusieurs cabinets d’avocats (Bredin Prat, COTEG & AZAM, PLR Avocats). On trouve aussi, pêle-mêle, une ESN (IDLINE), un paysagiste (Groupe J.Richard), un distributeur alimentaire (Avidoc), un fabricant de portes automatiques (ESTPM), etc.

LockBit blog

LockBit veut-il pousser les autorités à dévoiler leur jeu ?

Le message impute le timing de l’opération de démantèlement au risque de fuite d’informations dérobées en janvier au comté de Fulton (Géorgie) – et potentiellement compromettantes pour l’administration Biden.

L’auteur en tire une leçon : attaquer davantage le secteur gouvernemental. Son postulat : cela forcera les autorités à agir contre les cybercriminels. Et donc à leur dévoiler leurs faiblesses, qu’ils pourront donc résorber.

La suite du message minimise l’ampleur des informations qu’ont récoltées les forces de l’ordre stubs et non code source, grande proportion de déchiffreurs protégés donc non exploitables…). Et vante la robustesse de la nouvelle infrastructure de LockBit, entre décentralisation des accès partenaires et passage à une publication intégralement manuelle des déchiffreurs.