Il est fondamental que Lockbit soit à nouveau visible rapidement. Les victimes sont probablement moins disposées à payer tant qu'il y a des rumeurs selon lesquelles le groupe n'est plus opérationnel.
« Il est désormais connu que Lockbit, contrairement à ses propres déclarations, ne supprime pas les données volées. Une raison de plus pour tenir bon et ne pas payer en cas de chantage. Ils ont mis en place un nouveau site de fuite de .onion. Le groupe y affirme que les autorités chargées de l'enquête ont utilisé une vulnérabilité PHP pour le retrait. Il s'agit d'une campagne de relations publiques. Lockbit veut relativiser les dégâts du retrait et montrer sa force. Selon ses propres informations, Lockbit a été compromis via une vulnérabilité PHP inconnue. Seuls les serveurs exécutant PHP ont été compromis. Cette affirmation semble invraisemblable pour deux raisons : s'ils ne savent pas exactement comment ils ont été compromis, comment peuvent-ils être sûrs que cela s'est fait via PHP ? La déclaration concernant les serveurs concernés ressemble à une limitation des dommages de communication ou n'est qu'un vœu pieux.
L'action des autorités chargées de l'enquête a été extrêmement globale et a ciblé les trois éléments qui constituent la véritable force d'une marque de ransomware-as-a-service : la marque elle-même, les organisations partenaires qui réalisent les opérations et, enfin et surtout, l'entreprise du groupe. actifs financiers. La grève contre le groupe sur le dark web a été soutenue par des actions massives dans le monde réel, comme l'arrestation de personnes travaillant avec Lockbit. Le site Web saisi a été utilisé par les autorités chargées de l'enquête pour envoyer un message d'avertissement directement aux partenaires, le site de fuite Lockbit et la marque Lockbit ont été utilisés pour se moquer et dénigrer Lockbit et les organisations partenaires. En outre, les autorités chargées de l'enquête affirment avoir confisqué plus de 200 portefeuilles contenant des crypto-monnaies et plus de 1.000 XNUMX codes de décryptage.
Lockbit est protégé contre les poursuites
Malheureusement, deux choses suggèrent que Lockbit pourrait faire son retour : de nombreux membres sont probablement basés en Russie ou dans d'anciens États soviétiques favorables à la Russie et sont donc protégés des autorités internationales chargées de l'application des lois. En outre, les autorités chargées de l'enquête ont mis à prix 15 millions de dollars les informations permettant d'identifier les dirigeants du groupe Lockbit - ce qui suggère qu'elles ne connaissent malheureusement pas actuellement ces personnes. » (Rüdiger Trost, expert en cybersécurité chez WithSecure)
Plus sur WithSecure.com
À propos de WithSecure WithSecure, anciennement F-Secure Business, est le partenaire de confiance en matière de cybersécurité. Les fournisseurs de services informatiques, les fournisseurs de services de sécurité gérés et d'autres entreprises font confiance à WithSecure - tout comme les grandes institutions financières, les entreprises industrielles et les principaux fournisseurs de technologies et de communication. Avec son approche de la cybersécurité axée sur les résultats, le fournisseur de sécurité finlandais aide les entreprises à mettre la sécurité en relation avec les opérations, à sécuriser les processus et à prévenir les interruptions d'activité.