Selon les autorités, Europol, le FBI et la NCA britannique ont démantelé le groupe APT LockBit. Au moins, il contrôle tous les sites de fuite du darknet et distribue probablement déjà des outils de décryptage. Les autorités ont même utilisé le système des sites de fuite pour diffuser des informations et des outils.
Cela semble trop beau pour être vrai : un réseau mondial d'autorités telles que le FBI, Eruopol, la NCA et bien d'autres ont réussi à porter un coup important au groupe APT LockBit. Officiellement, le réseau du groupe a été démantelé, les serveurs repris, les codes sources et documents confisqués et même tous les sites de fuite repris. Selon un rapport de la National Crime Agency (NCA) britannique. La NCA a pris le contrôle de l'environnement de gestion principal de LockBit, qui permettait à ses partenaires de créer et de mener des attaques, ainsi que du site de fuite du groupe accessible au public sur le dark web, où il hébergeait et partageait des données précédemment volées à des victimes qui avaient menacé de le faire. être publié.
Les sites de fuite aident désormais les victimes
Généralement, les pages de fuite d'un groupe sont simplement bloquées après l'arrestation. Mais c'est différent maintenant : le site Web affiche désormais une série d'informations sur les capacités et les processus de LockBit. Cependant, tout cela est censé être une aide pour les victimes. Vous y trouverez des informations sur les points de contact, l'aide après paiement, les clés de décryptage et des liens vers des outils dotés d'outils de décryptage. La page transférée avec les informations peut maintenant être trouvée à cette adresse de porte : vers la page LockBit (adresse oignon).
Les données des victimes sont toujours disponibles malgré la promesse de suppression
Les autorités ont accès à l'ensemble du système d'administration du groupe LockBit. Il s'agit des sites de fuite et de leurs contrôles, ainsi que du chat dans lequel se sont déroulées les négociations avec les victimes. Toute la gestion des données extraites des victimes est également entre les mains des autorités, y compris le code source du malware et la plateforme d'affiliation des partenaires du groupe LockBit. L’une des découvertes les plus intéressantes concerne les données volées pour lesquelles les victimes avaient payé la rançon. LockBit avait promis à plusieurs reprises que les données seraient supprimées après un paiement. Mais les gangsters restent des gangsters.
Outil d'exfiltration de données et serveur confisqués
LockBit disposait d'un outil d'exfiltration de données personnalisé appelé Stealbit qui était utilisé par les partenaires pour voler les données des victimes. Les autorités ont saisi cette infrastructure auprès des membres de la task force Op Cronos présents dans trois pays, et 28 serveurs appartenant aux filiales de LockBit ont également été fermés. Dans le même temps, les premières personnes qui auraient travaillé avec LockBit ont déjà été arrêtées en Pologne et en Ukraine. Selon Europol, 200 comptes Bitcoin ont également été gelés.
Plus sur Europol.Europa.eu