Le gang de ransomwares Lock Bit mène à nouveau des attaques, en utilisant des chiffrements mis à jour avec des notes de rançon liées à de nouveaux serveurs après la perturbation des forces de l’ordre de la semaine dernière.

La semaine dernière, la NSA, le FBI et Europol ont mené une perturbation coordonnée appelée « Opération Cronos » contre l’opération ransomware Lock Bit.

Dans le cadre de cette opération, les forces de l’ordre ont saisi des infrastructures, récupéré des déchiffreurs et, dans un moment embarrassant pour LockBit, converti le site de fuite de données du gang de ransomwares en un portail de presse de la police.

Site de fuite de données de bits de verrouillage converti en site de presse

Peu de temps après, LockBit a mis en place un nouveau site de fuite de données et a laissé une longue note adressée au FBI, affirmant que les forces de l’ordre avaient violé leurs serveurs à l’aide d’un bogue PHP.

Cependant, au lieu de changer de marque, ils ont promis de revenir avec une infrastructure mise à jour et de nouveaux mécanismes de sécurité pour empêcher les forces de l’ordre d’effectuer des attaques à l’échelle de l’opération et d’accéder aux déchiffreurs.

Mise à jour des chiffrements LockBit utilisés dans les attaques
Depuis hier, LockBit semble à nouveau mener des attaques, avec de nouveaux chiffrements et une configuration d’infrastructure pour les sites de fuite de données et de négociation.

Comme indiqué pour la première fois par Zscaler, le gang de ransomwares a mis à jour les notes de rançon de son chiffreur avec des URL Tor pour la nouvelle infrastructure du gang. Breachtrace a trouvé plus tard des échantillons des chiffrements téléchargés sur VirusTotal hier [Échantillon] (partagé par MalwareHunterTeam) et aujourd’hui [Échantillon], contenant les notes de rançon mises à jour.

Breachtrace a également confirmé que les serveurs de négociation de l’opération sont à nouveau actifs mais ne fonctionnent que pour les victimes de nouvelles attaques.

Nouveaux sites de négociation de bits de verrouillage

Au moment de la suppression des bits de verrouillage, l’opération de ransomware comptait environ 180 affiliés travaillant avec eux pour mener des attaques.

On ne sait pas combien travaillent encore avec le Ransomware-as-a-Service, car on a publiquement fustigé l’opération sur X.

Cependant, LockBit déclare qu’ils recrutent maintenant activement des pentesters expérimentés pour rejoindre à nouveau leur opération, ce qui entraînera probablement une augmentation des attaques à l’avenir.

Reste à voir s’il s’agit d’un grand plan pour que le bit de verrouillage disparaisse lentement et se rebaptise comme nous l’avons vu avec Conti. Pour l’instant, cependant, il est plus sûr de supposer que LockBit continue d’être une menace.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *