Dans le cadre de l’opération Cronos du 19 février, les forces de l’ordre d’une dizaine de pays avaient officiellement annoncé le démantèlement du gang de cybercriminels russophone Lockbit. Il n’aura fallu attendre que cinq jours pour que le groupe ne dévoile son nouveau site, rétablisse ses serveurs, et indique avoir fait de nouvelles victimes.

Entre les forces de l’ordre et Lockbit, le combat ne fait que commencer

Sur le dark web, la partie cachée d’internet où Lockbit propose ses activités illégales, les cybercriminels ont publié un message où ils minimisent l’opération de police internationale visant à les nuire. Selon eux, les autorités ont seulement réussi à pirater les deux principaux serveurs du groupe. Ses membres, ayant baissé leur garde, ont omis de mettre à jour ces serveurs. Cela aurait permis aux forces de l’ordre d’exploiter une vulnérabilité du langage de programmation PHP afin de les mettre hors ligne.

Selon les cybercriminels, le FBI aurait précipité le lancement de l’opération Cronos suite à l’attaque par rançongiciel visant le comté de Fulton, dans l’État de Géorgie, le 15 février dernier. Cette cyberattaque aurait permis à Lockbit de récupérer une immense quantité de données, dont des documents confidentiels en lien avec « les affaires judiciaires de Donald Trump », candidat aux élections présidentielles américaines de novembre.

« Tous les autres serveurs avec des blogs de sauvegarde sur lesquels PHP n’est pas installé ne sont pas affectés et continueront à subtiliser des données aux sociétés attaquées, » précise le groupe. Sur leur nouveau site, Lockbit s’est même vanté d’avoir attaqué de nouveaux organismes. Durant le week-end, douze victimes ont été recensées, dont le comté de Fulton, une nouvelle fois attaquée, mais aussi une entreprise française spécialisée dans la logistique et l’emballage industriel, Idea.

Ce lundi, la National Crime Agency (NCA), l’autorité britannique qui avait coordonné avec le FBI l’opération Cronos, s’est exprimée autour du retour de Lockbit. Un porte-parole de la NCA a déclaré que le gang « restait complètement compromis », avant d’ajouter que « nous avons reconnu que Lockbit tenterait probablement de regrouper et de reconstruire leurs systèmes. Cependant, nous avons rassemblé une énorme quantité de renseignements sur eux et sur ceux qui leur sont associés, et notre travail pour les cibler et les perturber ».

La semaine dernière, la police ukrainienne en collaboration avec la Gendarmerie nationale française avait procédé à l’arrestation d’un père et son fils, soupçonné d’être de mèche avec le groupe. De la même manière, les États-Unis ont identifié deux ressortissants russes qui seraient à l’origine du déploiement de Lockbit 3.0, le ransomware-as-a-service que met à disposition le gang à d’autres cybercriminels. Le département d’État du pays a d’ailleurs annoncé offrir une récompense allant jusqu’à dix millions de dollars pour toute personne fournissant des personnes permettant d’identifier ou de localiser un membre ou un des cadres de l’organisation criminelle.