LockBit, vraiment démantelé ? Ce qui s’est passé ce week-end n’en donne pas l’impression.
Des sites au nom et aux couleurs du groupe sont réapparus sur le darkweb. L’un d’entre eux liste une douzaine de victimes revendiquées… dont un groupe français : IDEA (prestataire logistique). Il comprend une entrée « fbi.gov ». Le lien qui s’y trouve ne mène pas vers des données volées, mais vers un message, en anglais et en russe. Y est retracée, à la première personne, une chronologie des événements de la semaine passée.
« Le 19 février, des tests de pénétration ont eu lieu sur deux de mes serveurs. À 6 h 39 UTC, j’ai découvert une erreur 502 sur le site. » Ainsi débute ce récit. Il y est question d’une faille PHP (CVE-2023-3824). C’est elle qui aurait permis l’accès à l’infrastructure de LockBit. Ou plus précisément à une partie : « Si je n’avais pas eu des serveurs de sauvegarde sans PHP, je ne me serais probablement pas rendu compte du hack », peut-on lire.
Ces serveurs, nous affirme-t-on, sont intègres. Ils continuent donc à héberger les données volées. On peut effectivement encore accéder au téléchargement de ces dernières. Y sont associés, entre autres, le département de l’Ardèche (360 Mo de données), la commune de Saint-Cloud (13 Mo) et le portail justice.fr (6 Go). Ils voisinent avec plusieurs cabinets d’avocats (Bredin Prat, COTEG & AZAM, PLR Avocats). On trouve aussi, pêle-mêle, une ESN (IDLINE), un paysagiste (Groupe J.Richard), un distributeur alimentaire (Avidoc), un fabricant de portes automatiques (ESTPM), etc.
Le message impute le timing de l’opération de démantèlement au risque de fuite d’informations dérobées en janvier au comté de Fulton (Géorgie) – et potentiellement compromettantes pour l’administration Biden.
L’auteur en tire une leçon : attaquer davantage le secteur gouvernemental. Son postulat : cela forcera les autorités à agir contre les cybercriminels. Et donc à leur dévoiler leurs faiblesses, qu’ils pourront donc résorber.
La suite du message minimise l’ampleur des informations qu’ont récoltées les forces de l’ordre stubs et non code source, grande proportion de déchiffreurs protégés donc non exploitables…). Et vante la robustesse de la nouvelle infrastructure de LockBit, entre décentralisation des accès partenaires et passage à une publication intégralement manuelle des déchiffreurs.
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…
Sous la bannière SpreadSheetLLM, Microsoft propose un framework destiné à optimiser le traitement des feuilles…
Selon le magazine Wired, AT&T aurait payé près de 400 000 $ à un pirate…
Confronté à un bannissement généralisé, Kaspersky va se retirer progressivement du marché américain, à partir…
Voilà X officiellement accusé d'infractions au DSA. La Commission européenne ne valide pas le système…