Marc Rivero (Kaspersky) "Les hackers de Lockbit forment deux castes : les développeurs et les franchisés "

Le groupe Lockbit a finalement annoncé être responsable de la cyberattaque de l'hôpital de Corbeil-Essonnes. Entretien avec Marc Rivero, chercheur au Global Research & Analysis Team chez Kaspersky.

JDN. Quelle est la réputation de Lockbit dans le ransomware ?

Marc Rivero. Lockbit est l'un des meilleurs groupes en matière de ransomware, au moins dans le top 5. Leurs membres possèdent un savoir-faire certain. 

Marc Rivero est chercheur au GReAT (Global Research & Analysis Team) chez Kaspersky. © Maximo Garcia de la Paz

En dehors du profit que cela implique, pourquoi Lockbit permet-il à d'autres hackers d'utiliser sa technologie ?

Pour eux, c'est un business modèle. En fait Lockbit se compose de deux "castes" : les développeurs et les franchisés. Les premiers créent les programmes et les testent, ils sont le cœur du système Lockbit. Mais ils se sont rendus compte que lancer des campagnes d'attaque de ransomware demande beaucoup d'efforts financier, en plus de devoir repérer les cibles et préparer les attaques. Donc pour s'éviter des coûts inutiles, ils louent leurs programmes à des franchisés. Ces derniers reçoivent le programme avec un manuel d'utilisation. En échange, ils doivent verser aux développeurs 70% de la rançon qu'ils reçoivent de leurs victimes et suivre le code de conduite Lockbit, qui prévoit notamment de ne pas s'attaquer aux structures étatiques ou aux établissement de santé.

Pourtant, ils s'en sont pris à l'hôpital de Corbeil-Essonne…

Les franchisés sont censés suivre le code de conduite. Cependant, le groupe a connu une expansion rapide ces dernières années. Résultat, il n'est plus possible de contrôler les agissements de chaque franchisé. D'où la cyberattaque sur l'hôpital de Corbeil-Essonnes. C'est sûrement une erreur, un franchisé a décidé de ne pas respecter le code mais il devra en subir les conséquences. Car cette attaque a attiré sur le groupe l'attention de plusieurs forces de sécurité, les hôpitaux étant essentiels au bon fonctionnement d'un pays. Les membres de Lockbit veulent absolument éviter de devenir des cibles prioritaires pour les forces de police.

Connaît-t-on l'effectif de Lockbit ? Et quel genre de personnes en font partie ?

Possiblement des milliers de franchisés mais attention, ces derniers peuvent aussi travailler pour d'autres groupes de cybercriminels puis revenir chez Lockbit. Ce ne sont pas des employés fixes. Pour ce qui est des développeurs, nous ignorons leur nombre. Mais ce sont sans aucun doute des gens qui ont suivi une formation liée à l'informatique, et qui ont été bien formés. Leurs chefs doivent être des vétérans du milieu cybercriminel. Car Lockbit a une durée de vie très longue par rapport à d'autres groupes de hackers spécialisés dans le ransomware. Il a été créé en 2016, et n'a jamais été mis en danger depuis. L'équipe dirigeante doit savoir comment se camoufler et éviter les arrestations et les faux pas qui pourraient y mener.

De plus, ils restent en alerte constante. Par exemple, il y a quelques mois, ils ont organisé un concours sur un forum du Darknet. Ils proposaient à des hackers de les traquer, et les gagnants devaient recevoir une coquette somme d'au moins 500 000 dollars. En réalité, le vrai but de ce concours était de voir si le groupe possédait des failles que les unités de recherche pourraient trouver pour les arrêter.

Comment devient-on un franchisé Lockbit ?

Pour commencer vous devez aller sur le Darknet, puis vous connecter sur un forum de recrutement et consulter les annonces. Si Lockbit vient de poster une annonce, vous les contactez, ils vous donneront un mail de contact. Vous passerez ensuite un entretien d'embauche, durant lequel ils vous demanderont vos références et votre niveau d'expérience. Avant, le groupe était ouvert à tous mais depuis qu'ils sont dans le top 5 des meilleurs ransomwares, les règles de recrutement sont plus draconiennes et uniquement les meilleurs sont pris.

Lockbit possède-t-il une appétence pour un type d'entreprise en particulier ?

Ils ciblent toutes les entreprises jugées en capacité de payer la rançon pour pouvoir rentrer dans leurs frais. Mais ils aiment cibler des entreprises travaillant dans le secteur du retail. Les entreprises pouvant avoir accès à des données sensibles les intéressent aussi, car elles sont plus enclines à vite payer la rançon pour éviter toutes fuites.

Quels seraient vos conseils pour se protéger des ransomwares créés par Lockbit ?

Les entreprises doivent augmenter le budget qu'elles attribuent à la cybersécurité, et faire des analyses régulières de leurs infrastructures informatiques afin de repérer de possibles infiltrations de Lockbit.  Elles doivent aussi autoriser leur chef de la sécurité à augmenter le niveau de préparation de leurs équipes cybers.