Cybercriminalité : ne baissons pas la garde après le démantèlement de Lockbit, le hacker le plus nuisible au monde !
Démantèlement de Lockbit : au-delà de la répression, la nécessité d'une approche globale en matière de cybersécurité
Le 20 février, les autorités anglaises et américaines annonçaient le démantèlement de Lockbit, l’un des groupes de hackers les plus dangereux au monde. Ces pirates sont responsables, entre autres, de l’attaque contre les hôpitaux de Corbeil, d’Armentières ou encore contre la Poste mobile, pour ne citer que quelques-unes des victimes, en France, de leurs rançongiciels. Pour autant, la menace est-elle éliminée ? On ne saurait qu’être trop prudent. La réalité des réseaux de ransomware reste plus que jamais d’actualité. Lockbit lui-même pourrait bien renaître de ses cendres, d’ici quelques mois.
Le groupe de hackers le plus nuisible au monde, lui-même « hacké »
L’opération, du nom de Cronos, a duré plusieurs années et réuni les agences d’investigation de 10 pays, dont la France. Seule une organisation d’envergure mondiale pouvait faire tomber le groupe de pirates russophone, qui a conçu plusieurs générations de rançongiciels. Au cours des deux dernières années, Lockbit serait responsable à lui seul d’un quart des attaques de ransomware dans le monde, les préjudices s’élevant à plusieurs milliards de dollars.
La NCA et le FBI sont ainsi parvenus à prendre le contrôle du site web de ce dangereux hacker, mettant la main sur l’infrastructure qui lui a permis de déployer ses rançongiciels et d’extorquer les entreprises. Quatre membres présumés du gang ont également été arrêtés. Affichée sur le site web de Lockbit, on peut voir depuis quelques jours la liste des affiliés ayant rejoint le réseau depuis sa création, jusqu’en février 2024, ainsi qu’un compte à rebours, intitulé "Who is LockbitSupp ?"*. Le message est clair : les identités des individus impliqués sont connues et c’est la prison qui attend ces derniers, pour de nombreuses années. Certains des membres arrêtés en Pologne et en Ukraine feront l’objet d’une extradition vers les États-Unis.
Des effets positifs sur le court terme mais une vigilance toujours nécessaire
Lockbit n’est d’ailleurs pas la seule organisation visée par les forces de l’ordre ces jours-ci. Une récompense de 15 millions de dollars est actuellement offerte pour toute information sur les membres du gang APLPHV, connu aussi sous le nom du ransomware « BlackCat ». De quoi inciter les cybercriminels à faire profil bas !
Au moins sur le court terme, l'activité des ransomwares devrait donc se ralentir, en particulier celle émanant de groupes à but lucratif, par opposition aux réseaux parrainés ou exploités par des États-nations. Pour ces derniers, les motivations ont à voir avec les conflits géopolitiques et sont donc peu impactées par les opérations de répression, si importantes soient-elles.
Au contraire, les groupes à but lucratif s’attendent à être frappés à leur tour. Le répit devrait néanmoins être de courte durée. À moyen et long terme, l'activité mondiale des ransomwares reviendra probablement au niveau que nous avons connu jusqu’à aujourd’hui – si elle ne dépasse pas. L’argent en jeu, en effet, est beaucoup trop important, d’autant qu’il est relativement facile pour les acteurs malveillants d’exécuter une attaque de ce type grâce aux programmes d'affiliation : ces derniers permettent de "profiter" des fruits de cette activité illégale sans même avoir les compétences techniques nécessaires pour écrire de nouveaux rançongiciels.
Continuer à investir dans des solutions de cybersécurité efficaces
Sans négliger l’impact de l’opération Cronos, il serait donc présomptueux de crier victoire trop vite. Ce succès majeur ne mettra malheureusement pas fin à la réalité des réseaux criminels de ransomware, ni au modèle commercial de leurs affiliés. Il y a fort à parier que certains membres de Lockbit toujours en liberté recommenceront même à opérer sous le même nom ou créeront bientôt de nouveaux groupes tout aussi menaçants.
Il convient donc de redoubler de vigilance et d’adopter une approche globale, en allant au-delà des seules mesures répressives. La meilleure défense contre les ransomware passe par l'éducation du grand public, qui doit être informé des pratiques éprouvées permettant de minimiser les risques de compromission. Elle doit aussi s’appuyer sur l’investissement dans des solutions technologiques capables de protéger en temps réel les systèmes informatiques. Sans mesure de la sorte, les entreprises resteront à la merci des cybercriminels, et ce malgré le succès grandissant des opérations internationales contre la cybercriminalité.
* « Qui sont les chefs de file de Lockbit ? »