Concurrence débridée entre gangs cybercriminels. En guest star, le groupe LockBit

Dans l'écosystème cybercriminel des « Ransomware-as-a-Service», le groupe arrive sur le tard. Mais lorsqu'il rentre dans la danse, en 2019, il affiche clairement ses ambitions. Retour sur l'épopée de « Lockbit », qui conduira le gang jusqu'aux sommets en 2023. Et pour 2024, la chute ?

L'expert Jon DiMaggio travaille pour la société Analyst1, spécialisée dans le renseignement sur les menaces numériques. En janvier 2023, il publie un long rapport sur le groupe Lockbit, fruit de ses infiltrations sur les forums underground cybercriminels. Il décrit un gang à l'image de son leader et porte-parole haut en couleur :

« L'individu qui dirige actuellement l'opération ransomware de Lockbit, utilisant le persona LockBitSupp, montre des traits narcissiques qui nourrissent son ego toujours grandissant. Ces derniers mois, le sentiment négatif envers sa personne n'a fait qu'augmenter, poussé par les commentaires arrogants sur les forums et les interviews aux médias. Beaucoup de criminels n'apprécient pas l'approche « m'as-tu-vu » du groupe LockBit, en ont assez de ses coups publicitaires ».

En 2021, LockBitSupp donne deux interviews, aux analystes de Vx-Underground et à la chaine Youtube russe RUSSIA OSINT. Il y affirme ne plus résider en Russie, mais habiter la Chine… ou les Pays-Bas… ou Hong Kong... ou même les États-Unis. Il utiliserait le réseau Starlink de Elon Musk pour accéder à son infrastructure. Son trésor de guerre serait stocké sur deux clefs USB, une qu'il porterait en permanence à son cou, l'autre conservée en lieu sûr. Et il serait l'heureux propriétaire de trois restaurants en Chine et deux à New York.

En réponse à un utilisateur qui demandait des conseils pour un tatouage,...

Rétrospective de l'industrialisation du cyber-crime. En guest-star, le cyber-gang REvil.

En l'espace de 35 ans, les « ransomware » sont passés de niche du cybercrime à une industrie complexe ayant généré 1,1 milliard de paiements de rançon en 2023. Comment en est-on arrivé là ? Premier épisode d'une série sur les traces de la branche de la cybercriminalité la plus active aujourd'hui.

La première souche de « ransomware » daterait de 1989. Elle circulait sur des disquettes, les victimes devant envoyer 189$ à une boite postale au Panama pour récupérer l'usage de leur ordinateur. Il n'est pas dit combien ce premier gang a extorqué de cette façon, mais autant dire que le système n'était pas encore tout à fait au point. Durant les années qui suivent, de nouvelles souches émergent mais cette tendance du cybercrime reste une niche : l'époque est au « carding », le trafic de numéros de cartes bleues volées.

C'est aux alentours des années 2010 que vont apparaitre les premiers signes de la vague à venir. C'est à ce moment qu'apparait la crypto-monnaie décentralisée Bitcoin. Jusqu'à lors, les cybercriminels devaient jouer avec différents systèmes de paiements, plus ou moins fiables, pour récupérer leurs gains. Très vite, Bitcoin est largement adopté par la scène.

C'est également à cette époque que, Evgeniy Bogachev, un parrain du milieu, annonce se ranger. Il a été à l'origine du malware bancaire « GameOver Zeus », un des plus actifs de son époque, mais il est tombé dans le viseur des autorités américaines. En cadeau de départ, il publie la version 2.1 de son malware, qui embarque une clef de chiffrement par « utilisateur ». En clair, Bogachev se met en retrait et devient fournisseur de service. Il loue son malware et les outils à d'autres groupes qui peuvent dès lors...