Selon RedouteLe panneau d’affiliation Lockbit 4.0 a été compromis en mai, exposant des incohérences opérationnelles au sein du groupe Ransomware-en tant que service, révélant des pratiques internes chaotiques et offrant une vision sans précédent sur la nature non réglementée de l’écosystème des ransomwares.
Lockbit est perçu depuis des années comme une organisation criminelle hautement professionnelle et efficace dans le paysage des ransomwares. Cette perception dépeint le groupe comme une entité sophistiquée, semblable à une startup technologique bien structurée. Cependant, l’exposition récente du panel d’affiliation 4.0 de Lockbit a contesté cette vision établie, révélant plutôt une opération caractérisée par la désorganisation, les conflits internes et les incohérences opérationnelles importantes. Cet événement a démontré que la réalité des menaces de ransomware est plus fragmentée et imprévisible qu’auparavant, s’écartant d’un modèle discipliné et semblable à l’entreprise.
La fuite, survenue en mai, a englobé un volume substantiel de données, y compris des milliers de messages de chat échangés entre les affiliés de Lockbit et leurs victimes. Ces données contenaient également de nombreuses versions de ransomwares, des balises utilisateur internes et des informations Cryptowallet. Le compromis de Lockbit 4.0 Le panneau d’affiliation a été marqué par son remplaçant par un lien dirigeant vers ce vidage complet de données. Cet incident a fourni une vaste étude en coulisses sur la dynamique opérationnelle des activités de ransomware en tant que service (RAAS), à la suite d’informations similaires tirées des fuites Conti en février 2022, qui ont également mis en lumière les opérations de gangs de ransomware.
L’analyse des matériaux divulgués a indiqué que l’écosystème des ransomwares d’affiliation fonctionne principalement sur une base opportuniste et désorganisée. Les affiliés ont démontré divers degrés de professionnalisme, opérant souvent avec une surveillance minimale de la plate-forme centrale de verrouillage. Certains affiliés se sont engagés dans des processus de négociation minutieux avec les victimes et ont toujours fourni des outils de décryptage après le paiement. À l’inverse, d’autres affiliés cesseraient la communication immédiatement après la sécurisation d’un paiement de rançon. Une interaction spécifique a documenté un affilié attribuant des fichiers corrompus aux logiciels antivirus et en demandant à une victime d’attendre le bon outil de décryptage, déclarant: «Le patron est très occupé.» Cette communication a finalement cessé sans résolution pour la victime.
Les règles établies régissant la plate-forme de verrouillage ont été souvent ignorées par ses affiliés. Les directives opérationnelles de Lockbit ont explicitement interdit à cibler les organisations russes. Malgré cette interdiction, deux entités gouvernementales russes ont été soumises à des attaques en février. Pour atténuer les répercussions et préserver la réputation du groupe, les administrateurs de Lockbit sont intervenus directement, fournissant des décrypteurs gratuits aux organisations concernées. L’affilié responsable de ces attaques particulières a ensuite été suspendu et attribué une étiquette interne, «RU Target», indiquant leur transgression des règles concernant les cibles russes.
Les aspects financiers de l’opération Lockbit, tels que révélés par la fuite, ont également montré un manque de clarté et de cohérence. Un examen de 159 portefeuilles Bitcoin associés à diverses tentatives d’extorsion a montré que seulement 19 de ces portefeuilles ont réellement reçu des fonds. Cet écart suggère que certains affiliés pourraient avoir effectué des négociations et des transactions en dehors de la plate-forme officielle de lockbit, susceptibles de contourner la commission stipulée de 20% de la plate-forme sur les paiements de rançon. Un affilié a réussi à extorquer plus de 2 millions de dollars d’un fournisseur de cloud suisse. Cependant, la majorité des affiliés impliqués dans des tentatives d’extorsion n’ont finalement reçu aucun fonds de leurs opérations.
La désorganisation observée au sein de ces groupes ne diminue pas leur menace mais complique plutôt les stratégies défensives. L’absence d’une structure cohérente ou de procédures opérationnelles standardisées parmi les affiliés rend difficile pour les défenseurs de développer des manuels de réponse prévisible. La variabilité du comportement d’affiliation, où l’on pourrait offrir des accords de soutien et d’honneur tandis qu’un autre disparaît après le paiement, introduit une imprévisibilité significative dans la planification de la réponse aux incidents. Cette incohérence diminue également la valeur perçue du paiement d’une rançon, car il n’y a aucune garantie d’un résultat réussi, tel que la fourniture d’un décrypteur de travail ou la cessation de l’exposition aux données.
