Ransomware LockBit : des affiliés se réveillent
Le ransomware Lockbit existe depuis plus de 3 ans. Après une arrestation en octobre 2022 par la Gendarmerie Nationale Française et les autorités Canadiennes, le groupe semblait au plus mal. Depuis quelques heures, des affiliés ressortent de l’ombre !
LockBit 3.0 semblait être en perdition depuis quelques semaines suite à l’arrestation de ce qui semble être un membre fondateur de cette solution informatique dédiée à la prise d’otage numérique d’entreprise. Un Russo-canadien, arrêté fin octobre, au Canada. Une opération internationale avec le soutien des fins limiers de la Gendarmerie Nationale Française et du C3N.
Une période qui semble avoir permis à cette équipe de pirates informatiques de restructurer son fonctionnement et de s’atteler à lancer de nouvelles cyber attaques. D’ailleurs, comme j’ai pu vous le montrer, la direction de LockBit a resserré les boulons concernant son fonctionnement et ses recrutements.
LockBit relance la machine ?
Alors que je vous expliquais en exclusivité, mercredi 11 janvier, que LockBit revenait en force avec déjà plusieurs dizaines de cyber attaques, dont la société NUXE ou encore un port au Portugal, il semble aujourd’hui avéré que des affiliés ressortent de l’ombre pour mettre à jour leurs attaques et les infiltrations qu’ils ont pu orchestrer. L’un des co-fondateurs de Lockbit en avait d’ailleurs glissé quelques mots, en novembre 2022.
D’abord de nouvelles adresses .onion (via TOR) sont apparus. Très certainement des changements de serveurs. D’ailleurs, depuis le 9 janvier, les connexions à la quarantaine de sites du groupe LockBit (Tchat, stockage, blog, outils de téléchargement et de communication) répondaient avec difficulté.
Ensuite, une mise à jour de 32 victimes. Certaines, comme cette société française spécialisée dans l’habitat ou cette commune italienne [capture écran ci-dessus], toutes deux menacées en septembre 2022, se retrouvent en janvier 2023 avec l’intégralité de leurs donnes diffusées. Comme je vous le montre dans l’image présente au début de cet article, on voit des « mises à jour » des stockages malveillants. Pour la mairie italienne de Gorizia, de nouveaux dossiers sauvegardés par l’affilié pirate en octobre 2022, puis en janvier 2023.
Et c’est ainsi pour les 30 autres entreprises rançonnées dont la mise à jour massive est apparue ce 13 janvier 2023.