Lockbit vs Bl00dy : quand les hackers se font la guerre entre eux
A l'instar des criminels "classiques", les groupes de cybercriminels bataillent pour s'élever au sommet. Vol de technologie, dooxing et DDoS, tout est bon pour gagner, sans règles à respecter.
Le 1er novembre, Lockbit annonçait en fanfare qu'il avait réussi à voler des données à la société Thales, un des fleurons français en matière de cybersécurité et de défense, et promet de les dévoiler ce 7 novembre. Cette annonce a surpris tout le monde, et surtout elle a permis à Lockbit de retrouver la lumière des médias et de montrer qu'il avait bien survécu à la pire épreuve qu'un groupe de hackers peut affronter…. Le vol de sa propre technologie.
Le désastre de septembre
Lockbit fonctionne comme une mafia avec, tout en haut de la pyramide, les développeurs qui ont accès au saint des saints : la technologie du ransomware utilisée par le groupe criminel, qu'ils améliorent d'année en année. La deuxième caste est formée par les franchisés qui peuvent utiliser le ransomware mais pas le modifier. Surtout, ils doivent payer un impôt aux développeurs pour continuer à l'utiliser. Cet équilibre est brisé le 21 septembre 2022 à 5 heures du matin, quand un développeur mécontent de son sort va faire l'impensable…. Il diffuse au plus grand monde le builder du ransomware Lockbit, non pas sur le darknet mais sur Twitter. Des centaines voire des milliers d'internautes ont accès au builder avant que Twitter ne supprime le message.
De cette pagaille, un nouveau groupe surgit : Bl00dy. Il démontre qu'il sait parfaitement utiliser le builder fuité, en menant plusieurs attaques de type ransomware, tout d'abord en Ukraine puis dans le reste du monde. Lockbit voit sa crédibilité s'effondrer. Celle-ci avait déjà été mise à mal par la désobéissance d'un de ses franchisés qui avait hacké l'hôpital de Corbeil-Essonnes alors que la charte du groupe interdit toute attaque sur un hôpital ou sur une structure qui pourrait entrainer des morts. Alors cette fois, la diffusion de son builder sur les réseaux sociaux est un clou supplémentaire sur le possible cercueil du groupe.
La mise en sommeil
Bl00dy va alors briller et Lockbit peu à peu disparaitre : les développeurs de Lockbit décident de se mettre en sommeil, pour évaluer leurs forces et faiblesses… et e se rendre compte que leur situation est critique. Leur précieuse technologie est entre les mains d'un gang concurrent qui parvient à la maitriser sans aucun problème. Pourquoi ? Une des hypothèses est que Bl00dy serait composé en partie d'anciens de Lockbit, sans doute des franchisés mécontents ayant profité de la fuite pour s'autonomiser. La perte de technologie est ce qui avait coûté la vie au groupe de cybercriminels Conti, sachant que cette perte avait précédé la mise en ligne de documents incluant l'organisation du groupe, ses opérations ainsi que ses protocoles de communication. Autant de détails qui avaient forcé Conti à s'autodissoudre et ses membres à passer dans la clandestinité.
Pour éviter un destin similaire, Lockbit doit réagir, et vite, car Bl00dy doit déjà chercher un moyen de lui dérober des documents liés à son fonctionnement interne pour porter le coup de grâce… L'idée ? Mener une opération spectaculaire. Quelle cible pourrait permettre à Lockbit de restaurer sa grandeur dans le monde cybercriminel ? Thales. Une attaque sur cette grande entreprise de la défense française ferait la Une des médias et montrerait aux observateurs et à leurs concurrents que le groupe est encore vivant et prêt à en découdre. Lockbit avait déjà réussi à subtiliser des données à Thales en janvier 2022, il faut répéter cet exploit et surtout ne pas demander de rançon. En janvier, Thales n'avait pas payé la rançon demandée, donc inutile d'en demander une nouvelle. De plus, cela rend l'action encore plus médiatisable car à part les hacktivistes, tous les cybercriminels demandent des rançons.
Renaissance ou chant du cygne ?
Comment cette opération de communication va-t-elle se terminer ? Tout repose uniquement sur les données possiblement dérobées à Thales, sachant que le groupe français n'a pas tellement réagi aux annonces de Lockbit. On pourrait voir se répéter un scénario similaire à celui de janvier, lorsque Lockbit avait juste réussi à s'accaparer des données de faible importance. Si tel est le cas, l'opération de communication risque vite de virer au flop, et affaiblira encore plus un groupe déjà fragilisé. Bl00dy pourra alors confortablement s'asseoir à la place de Lockbit à la table des plus grands groupes de cybercriminels. Deuxième possibilité, Lockbit a bel et bien entre ses mains des données sensibles de Thales, et sa réputation dans le milieu cybercriminel sera rétablie. Deux choix se présenteront alors aux développeurs de Lockbit : soit continuer leurs cyberattaques sachant qu'ils seront encore plus dans le viseur des autorités et de leurs concurrents et pourraient connaitre une fin peu enviable. Soit faire le choix de s'autodissoudre pour finir sur un succès et partir avec leur trésor de guerre. Nous aurons la réponse sous peu.