LockBit revient en force dans une saison 2 déplaisante

Le pirate caché derrière Lockbit se faisait très discret depuis plusieurs semaines. Il revient en force avec des dizaines de victimes en quelques jours dont la compagnie Facturation.net. J’ai pu rentrer en contact avec Lockbit pour lui poser des tonnes de questions.

Il y a quelques jours je vous parlais du retour de Lockbit, un ransomware en location qui pour indiquer son retour sur le devant des affaires, avaient affiché la liste de leurs « concurrents » et la force de leur outil malveillant. Du marketing de la malveillance emprunté, le marketing, aux éditeurs de solutions cyber qui comparent la vitesse de leurs logiciels à celui de leurs homologues. Lockbit 2 expliquait alors être le plus puissant et le plus rapide. 7 heures, par exemple, pour chiffrer 10TB de données. L’ancienne version de Lockbit mettait 3 heures de plus quand ReVIL mettait 3 jours ou encore presque 24 heures pour Avaddon. Petite piste dans ce jeu de dupe. Alors que Lockbit 2 affiche 33 « concurrents« , morts ou encore en action comme Pysa, Avos et compagnie, pas une trace de MAZE, le papy des ransomwares.

A noter que cette évolution des cyberattaques est due aussi à un recrutement lancé par le pirate, il y a quelques jours « Le programme d’affiliation LockBit 2.0 relance temporairement l’accueil des partenaires. » indique-t-il. Bilan, plus de partenaires, plus de victimes !

Je ne suis pas riche, les riches finissent en prison

Bref, Lockbit 2 a bien l’intention de prendre les parts de marché de CONTI (le numéro UN des ransomwares en juillet 2021) et l’affiche fièrement avec plusieurs dizaines de victimes en quelques jours dont le québécois Facturation.net, société spécialisée, comme son nom l’indique, dans le paiement de prestations en ligne (elle traite d’informations hautement sensibles comme les numéros d’assurance maladie, etc).

La société a d’ailleurs, à première vue, payé une rançon. La menace de Lockbit de diffuser ce qui a été volé a disparu du darkweb quelques heures aprés son affichage, le 13 juillet 2021.

Parmi les quelques autres victimes : l’industriel belge CometGroup ; des cabinets d’avocats et comptables (sic!) ; ou encore la compagnie de transport public de la ville de Nottingham.

LockBit 2 est en action depuis septembre 2019. Il est conçu dans les langages d’origine C et ASM sans aucune dépendance. « La seule chose à faire est d’obtenir l’accès au serveur central, tandis que LockBit 2.0 fera tout le reste. Le lancement est réalisé sur tous les appareils du réseau de domaine en cas de droits d’administrateur sur le contrôleur de domaine. » annonce le gestionnaire de cette arme numérique.

Ce malware est capable de se lancer même dans des ordinateurs éteints via Wake-on-Lan et il s’invite dans les imprimantes pour imprimer la demande de rançon.

I am very kind

J’ai pu contacter Lockbit et lui poser quelques questions dont en voici quelques extraits. L’intégralité de cette rencontre sera présentée mercredi soir, dans la cyber émission « spéciale été ».

Les pirates ont été contactés via la messagerie sécurisée uTox.

ZATAZ – Lockbit 2 est de retour en force, pourquoi avoir gardé le même nom ?
Lockbit – Tout simplement la réputation. LockBit est le meilleur des meilleurs. On est le meilleur au monde

ZATAZAvez-vous beaucoup de clients depuis votre retour ?
Lockbit – Oui. Le nombre reste top secret.

ZATAZBeaucoup de comptables, d’avocats ou de sociétés de facturation. Pourquoi pensez-vous qu’ils ne font pas attention ?
Lockbit – Parce qu’ils n’accordent pas d’importance à la réputation.

ZATAZ – Vous ne ciblez pas le monde de la santé, avez-vous déjà alerté les hôpitaux du danger qu’ils peuvent encourir ?
Lockbit – Non. Pour cela il y a les white hats.

ZATAZ – Vous affichez depuis quelques jours beaucoup de victime. Beaucoup disparaissent comme facturation.net, cela veut-il dire qu’ils ont payé ?
Lockbit – Oui. Nous ne supprimons que ceux qui payent.

ZATAZ – Vous n’avez pas peur des autorités comme dans le cas de Cl0p ou encore Avaddon ?
Lockbit – Nous n’avons peur de rien, nous agissons pour l’honneur et le courage !

ZATAZ – Vous gagnez beaucoup d’argent ?
Lockbit – Je donne tout l’argent, je ne suis pas milliardaire.
Je suis une personne modeste et pauvre Si j’étais milliardaire, la police me retrouverait rapidement.

ZATAZ – Des cibles françaises et canadiennes dans vos attaques ?
Lockbit – Oui.

ZATAZ – Vous tenez des propos très proches de ceux que me tenait MAZE, c’est étonnant !
Lockbit – Qui est ce Maze ?

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme commandant réserviste Cyberdéfense Hauts-de-France. Ce blog est personnel. En savoir plus : https://www.damienbancal.fr

Articles connexes

  1. Pingback: ZATAZ » Ransomware: le retour des morts-vivants ?

  2. Pingback: ZATAZ » Le silence est d’or ? Les données volées aussi !

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.