"Ils n'ont jamais disparu": comment le groupe Lockbit est revenu en force après l'opération Chronos

Du fait de son organisation et de la difficulté pour les autorités à mettre la main sur les têtes pensantes du groupe, le collectif de hackeurs “le plus dangereux du monde” semble intouchable.

C’est un véritable tour de force. Un retour en grande pompe, dont seuls les activistes du groupe de hackeurs “le plus dangereux du monde” ont le secret. En subtilisant un volume important de données confidentielles à des patients de l’hôpital de Cannes en avril dernier, Lockbit a confirmé qu’il n’avait pas dit son dernier mot. Loin de là.

Pourtant, en début d’année, une coalition de dix pays (dont la France) et de prestigieuses agences d’investigation annonçait avoir “piraté” les pirates à la suite d’une enquête qui avait duré “des années”. En d’autres termes, la National Crime Agency (NCA) britannique, le Bureau Fédéral d’Enquête (FBI) américain et le Centre de lutte contre les criminalités numériques (C3N) français pensaient avoir porté un coup sérieux à Lockbit.

Le logo du groupe Lockbit, dans sa version 3.0

L’opération Chronos avait été un succès apparent. Dans un communiqué, Europol (l’agence européenne de police criminelle) s’était félicitée d’avoir “forcé l’arrêt des activités” du groupe. Les institutions jubilaient et promettaient des “coups de filets” pour humilier un peu plus le groupe de hackeurs russophone, spécialisé en rançongiciels.

“Ils n’ont jamais disparu”, tempère aujourd’hui Jean-François Beuze, expert en cybersécurité. “Lockbit a seulement été affaibli. Le FBI et les autres entités de la coalition ont simplement exploité une vulnérabilité du logiciel liée à une mise à jour de ce dernier.”

Chronos a manqué de discrétion

Comme lui, certains experts se trouvaient dubitatifs face à cette opération d’envergure mondiale, conscients que les activités du groupe puissent renaître de leurs cendres rapidement. “On peut quand même dire qu’elle a eu le mérite de montrer que nous pouvions nous défendre”, poursuit Jean-François Beuze.

Selon lui, l’opération a manqué de discrétion. “Ils auraient dû rester tapis dans l’ombre pour éradiquer l’entièreté du groupe plutôt que de faire de la communication à tout va.”

La “communication” explicitée, ce sont toutes les actions mises en place par la NCA et les autres pour “narguer” Lockbit. Chaque jour qui suivait le coup de filet, la coalition se félicitait d’une action contre le groupe de pirates.

“La vérité, c’est qu’il est très dur de mettre la main sur les têtes pensantes du groupe”, poursuit-il. Et pour cause, bien que les informations sur les gens impliqués ne manquent pas, la majorité est localisée en Russie. Les spécialistes sont quasi-unanimes, les têtes pensantes du groupe opèrent depuis ce pays – ou des pays de l’ancienne URSS – notamment en raison de leur caractère russophone.

“Lockbit, pour ce qui est des attaques que nous connaissons contre des entreprises européennes ou américaines, ne semble pas s’attaquer aux entités russophones. Ce qui pose question sur l’origine même du groupe.”

Les têtes pensantes sont une chose, mais les affiliés en sont une autre. C’est ainsi que fonctionne Lockbit. L’organisation criminelle s’articule autour de différents acteurs dont des adhérents qui réalisent eux-mêmes les cyberattaques et qui, par la suite, versent une commission au groupe. Les attaques sont ensuite centralisées sur le blog de Lockbit, là où le groupe les revendique.

Le spectre d’un retour en force

Pour Baptiste Robert, hacker éthique, Lockbit est ni plus ni moins qu’une “véritable industrie” expliquait-il récemment à Tech&Co. “C’est le plus bel exemple de cybercriminels qui ont industrialisé leur business. Ils ont un service client et des salariés avec des tâches assignées”.

Avec cette organisation millimétrée et cette décentralisation des actions, le spectre d’un retour en force de Lockbit, sous la forme actuelle (3.0) ou sous une autre régnait alors. C’est, d’ailleurs, ce qu’avait mis en exergue une étude de la société de cybersécurité Trend Micro, menée en collaboration avec la NCA.

Selon les deux entités, dont l’étude est parue quelques jours après le “démantèlement” du groupe de pirates informatiques, ce dernier travaillait “presque certainement” sur le développement d’une nouvelle variante. Un logiciel 4.0 “en cours de test” et indépendant de la plateforme qui a été mise en arrêt par les autorités.

“À deux mois des Jeux Olympiques de Paris 2024, c’est très inquiétant” explique Jean-François Beuze. “Notamment car la majorité des entreprises françaises n’est pas prête pour faire face à ce genre d’attaque. Et je n’inclus pas les grands groupes”.

Selon l’agence française de sécurité informatique (Anssi), la menace informatique a continué “d’augmenter” en 2023 et les JO offrent aux pirates “des opportunités supplémentaires d’agir”. D’autant plus que des cyberattaques semblent “inévitables” pendant les olympiades.

Montée en puissance à l’approche des JO

“La cyberattaque de l’hôpital de Cannes représente une montée en puissance de Lockbit”, formule l’expert en cybersécurité. Les 61 Go de données dévoilées ne sont donc qu’une sommation pour le futur, d’autant plus que le groupe s’est raffermi.

“Il sera encore plus difficile d’accéder aux vulnérabilités de Lockbit. Ils connaissent désormais leur faille principale. Ils vont renforcer leurs systèmes. Et même si, d’ici les JO, ils n’ont pas le temps de restaurer tous leurs services (mis en berne après l’opération de démantèlement, ndlr), ils seront très dangereux.”

Lockbit aurait d’ailleurs commencé à répertorier les dizaines d’attaque menées depuis quelques semaines, à en croire les spécialistes de logiciels malveillants, vx-underground. Sept entreprises figurent parmi “les nouvelles victimes” du groupe. Preuve que le groupe entreprend sa montée en puissance.