Opération Cronos : les autorités mettent la main sur les sites du pirate Lockbit

Posted On 20 Fév 2024

Tag: Artur Sungatov, Bassterlord, Ivan Gennadievich Kondratiev, lockbit, operation cronos, Ruslan Magomedovich Astamirov, splash

[Info ZATAZ] – Opération Cronos : LockBit, le groupe de pirates informatiques le plus menaçant du web voit ses sites web saisis par les autorités.

ABONNEZ-VOUS GRATUITEMENT À NOS ACTUALITÉS

Vous aimez nos actus inédites ? ABONNEZ-VOUS A ZATAZ VIA GOOGLE NEWS Recevez gratuitement, le samedi, PAR MAIL LES ACTUS ZATAZ de la semaine écoulée.

Aprés plus de trois ans de malveillances massives, les autorités de onze pays, dont la France [Gendarmerie Nationale et l’Unité Nationale Cyber], la Suisse, le Japon et le Canada, saisissent les espaces numériques du groupe de pirates informatiques LockBit. 20 sites [blog] et de stockages sont hors-service. Une opération menée par la National Crime Agency britannique, le Bureau fédéral d’enquête américain et Europol.

Seuls les outils « Drop files » et « Private Note » sont encore actifs. Le premier permet aux pirates de stocker et diffuser des fichiers dans un cloud Lockbit. Private Note permet de créer un texte, une note, qui s’autodétruit selon les besoins du créateurs [5 minutes à 7 jours].

Les Services proposés par ce malveillant aux affiliés, dont la location d’un outil de prise d’otage d’entreprise, ne répondent plus. « Nous pouvons confirmer que les services de Lockbit ont été interrompus à la suite d’une action internationale d’application de la loi – il s’agit d’une opération en cours et en développement. » souligne l’image splash apparue ce 19 février sur l’ensemble des domaines de Lockbit cachés dans le darkweb.

Dans le cadre de cette opération, le gouvernement américain va-t-il dévoiler des actes d’accusation contre deux ressortissants russes pour leur rôle présumé dans les attaques LockBit ? Artur Sungatov et Ivan Gennadievich Kondratiev (Bassterlord) dans la ligne de mire ?

En juin 2023, le Département de la Justice des États-Unis (DoJ) annonçait l’arrestation [le 13 mai 2023] en Arizona, d’un ressortissant tchétchène de 20 ans, soupçonné d’être membre LockBit : Ruslan Magomedovich Astamirov.

Plusieurs milliers de victimes !

LockBit a fait plusieurs dizaines de milliers de victimes. Selon les chiffres de ZATAZ, plus de 2 500 victimes [Le Loiret, la Communauté de Communes Gorges Ardèche, la ville de Nieul-sur-mer, Locaparc, Île de France Nature, Ville de Mandeure ou encore la commune de Brunoy, Etc.]

Certains cas autres cas, attribués à LockBit, ne semblent être signés directement par LockBit lui-même, comme j’ai pu vous le révéler, par exemple, pour le cas du Centre Hospitalier d’Armentières. Des copycat reprenant le code source d’un des outils du pirate, diffusé il y a quelques mois.

« This is not a problem for us we can make more! We can start again earlier creating a new blog » souligne un internaute signant LockBit. Un affilié, le boss ou un fanfaron ? A suivre !

Intéressant, il y a quelques jours, je vous expliquais comment le porte-parole de LockBit avait été « viré » d’un important forum pirate russophone. Autre détail, leur « partenariat » avec BlackCat/ALPHV semble avoir été fatal. Un chat noir qui peut rapporter jusqu’à 10 millions de dollars pour lui mettre la muselière !

Faille PHP, pas de mise à jour ?

« Le FBI a foutu les serveurs en l’air via PHP, les serveurs de sauvegarde sans PHP n’ont pas été touchés » explique un individu signant sous LockBit. Le BugBounty mis en place par le pirate ne semble pas avoir été très efficace !

Dans PHP version 8.0.*, lors du chargement du fichier phar, et au moment de la lecture des entrées du répertoire PHAR, une vérification de longueur insuffisante peut entraîner un débordement de tampon de pile, conduisant potentiellement à une corruption de la mémoire ou à un RCE. Un CVE que LockBit n’a pas vu passer !?

Le compteur de Lockbit affichait, avant sa fermeture par les autorités : 4 ans et 170 jours [Il est apparu le 3 septembre 2019].

Update 20/02 : le chercheur VX_Underground a eu confirmation de la saisi, par le FBI. « Le personnel administratif du groupe Lockbit ransomware nous a confirmé que leurs sites Web avaient été saisis.«

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.