Le groupe de cybercriminels LockBit, l’un des plus actifs dans le domaine des ransomwares, a récemment subi une attaque compromettant ses infrastructures. Les panneaux d’administration sur le Dark Web ont été compromis et remplacés par le message Don’t do crime, CRIME IS BAD, xoxo from Prague (Ne commettez pas de crimes, LE CRIME C’EST MAL, Bisous de Prague), accompagné d’un lien vers une archive contenant une base de données MySQL. Cette fuite révèle des informations sensibles sur les opérations internes du groupe.
Contenu de la base de données divulguée
L’analyse de l’archive « paneldb_dump.zip » a mis en lumière plusieurs éléments :
- Une table ‘btc_addresses’ répertoriant 59 975 adresses Bitcoin uniques.
- Une table ‘builds’ contenant les versions personnalisées du ransomware créées par les affiliés, avec parfois les noms des entreprises ciblées.
- Une table ‘builds_configurations’ détaillant les configurations spécifiques de chaque build, telles que les serveurs ESXi à éviter ou les types de fichiers à chiffrer.
- Une table ‘chats’ comprenant 4 442 messages de négociation entre LockBit et ses victimes, datés du 19 décembre au 29 avril.
Ces informations offrent un aperçu sans précédent des méthodes de LockBit et de ses interactions avec les victimes.
Réactions et implications
Des experts en cybersécurité, notamment de chez Analyst1 et Rapid7, ont confirmé l’authenticité des données. Selon eux, cette fuite pourrait porter un coup dur à la réputation et aux opérations de LockBit, en exposant ses pratiques et en dissuadant de potentiels affiliés. Certains sites du groupe sont actuellement hors ligne, affichant des messages indiquant qu’ils seront « bientôt opérationnels ».
Contexte : LockBit et ses antécédents
LockBit est connu pour son modèle de « ransomware-as-a-service », permettant à des affiliés d’utiliser son infrastructure pour mener des attaques. Le groupe a été impliqué dans de nombreuses cyberattaques majeures, ciblant des entreprises et des institutions à travers le monde. En février 2024, une opération internationale avait déjà perturbé ses activités, mais LockBit avait réussi à se réorganiser.
Conséquences pour les victimes et les affiliés
La divulgation des négociations et des configurations internes pourrait avoir plusieurs impacts :
- Les victimes pourraient utiliser ces informations pour renforcer leur sécurité et éviter de futures attaques.
- Les affiliés de LockBit pourraient craindre pour leur anonymat et leur sécurité, réduisant ainsi leur engagement avec le groupe.
- Les forces de l’ordre disposent désormais de données précieuses pour poursuivre les responsables.
Conclusion
Cette attaque contre LockBit souligne que même les groupes de cybercriminels les plus sophistiqués ne sont pas à l’abri de vulnérabilités. Elle met en lumière l’importance d’une cybersécurité robuste et de la coopération internationale pour lutter contre les menaces numériques.