Les autorités internationales ont eu beau mettre K.O. les cybercriminels de Lockbit, les logiciels malveillants distribués par la firme continuent de faire des dégâts un peu partout sur le globe.
Coupez une tête et deux repoussent immédiatement après. L’hydre Lockbit continue de faire des dégâts même après l’opération d’ampleur qui a permis aux autorités internationales de démanteler une bonne partie du réseau de cybercriminels. Des firmes spécialisées dans la cybersécurité notent en effet que des machines continuent d’être prises en otage par des logiciels malveillants issus des laboratoires de Lockbit.
Les répliques de Lockbit font encore des dégâts
Aux États-Unis, plusieurs hôpitaux, cabinets vétérinaires et officines gouvernementales sont en effet sous le coup d’attaques exploitant une faille dans le logiciel ScreenConnect, qui permet normalement de débuguer des ordinateurs à distance. Mais plus que le canal d’attaque, c’est le ransomware installé sur les machines des victimes qui laisse penser que des traces de Lockbit persistent encore sur le web.
Le logiciel de rançon ressemble en effet comme deux gouttes d’eau à celui employé par le célèbre groupe de hackers, qui normalement ne faisait que louer son infrastructure et ses logiciels malveillants à des clients, sans jamais les distribuer librement. Se pourrait-il que des groupes locaux constitués d’électrons libres appartenant à Lockbit sévissent donc encore ?
21 février 2024 à 07h48
D’après un responsable de la firme spécialisée dans la cybersécurité Huntress, il s’agirait en fait d’une version du logiciel « volé » à Lockbit il y a quelques mois de ça. Le logiciel ressemble en effet à une version qu’un membre de Lockbit aurait fait fuiter aux alentours de septembre 2022. Cela expliquerait comment certains cybercriminels pourraient donc exploiter le logiciel en se faisant passer pour Lockbit, afin d’augmenter un peu la pression sur les victimes.
Ce n'est pas la fin de Lockbit
D’après Sophos X-Ops, une autre entreprise de cybersécurité, il se pourrait que des répliques du séisme Lockbit se fasse encore sentir, même après l’immense opération policière de ce début d’année. La firme compare Lockbit à Conti, un autre collectif de hackers malveillants qui a, des années durant semé la zizanie sur Internet, même après sa supposée fermeture par les autorités. « Il est trop tôt pour dire si Lockbit sera aussi résilient en 2024, mais nous attaquons la septième semaine de l’année et le groupe fait encore largement parler de lui », prévient Sophos X-Ops.
D’après l’entreprise, ces attaques viendraient en fait de « filiales » de Lockbit « qui sont encore bel et bien vivantes ». Qu’il s’agisse de poches de résistances composées de membres du groupe de hackers ou d’imitateur à la recherche d’un peu d’argent facile, une chose est sûre, ce n’est pas la dernière fois que le nom Lockbit fait parler de lui.
30 octobre 2024 à 11h48
Source : Sophos X-Ops via Ars Technica