Une action de police et de justice coordonne au niveau international a dbouch sur la mise hors ligne de 34 serveurs appartenant au cybergang par ranongiciel Lockbit. Une faille affectant PHP a t exploite l’insu de ce groupe de cybercriminels.
Les actions internationales pour perturber les activités de gangs de cybercriminels se sont multipliées ces derniers mois (Hive, Quabot, Snake…). Une dernière opération ayant impliqué les services de police et de justice de plusieurs pays (Etats-Unis, Grande-Bretagne, France, Japon, Suisse, Canada, Australie, Pays-Bas, Suède et Allemagne) a cette fois visé un gros poisson : Lockbit. Ce groupe de ransomware, actif depuis 2019 et dont l’organisation a évolué avec le temps – Lockbit 2.0 et 3.0 – a en effet été ciblé par une action coordonnée par les agences Europol, FBI, National Crime Agency avec l’appui de forces de police dont en France avec la Gendarmerie Nationale (C3N). Avant que cette opération soit rendue public ce mardi, on notera aussi que Lockbit a communiqué à ses affiliés sur cette situation. D’autres pays ont par ailleurs apporté un soutien à cette action : la Finlande, la Pologne, la Nouvelle-Zélande et l’Ukraine.
Les premiers messages apparus sur les sites désormais sous contrôle des forces de sécurité et de justice internationales ont également fleuri : « Ce site est désormais sous le contrôle de l’Agence nationale de lutte contre la criminalité du Royaume-Uni, qui travaille en étroite collaboration avec le FBI et le groupe de travail international chargé de l’application de la loi, l’opération Cronos ». Un autre message plus spécifiquement adressé aux affiliés de Lockbit indique par ailleurs que : « Les forces de l’ordre ont pris le contrôle de la plateforme de Lockbit et ont obtenu toutes les informations qui s’y trouvent. Ces informations concernent le groupe Lockbit et vous, leur affilié. Nous avons le code source, les détails des victimes que vous avez attaquées, la somme d’argent extorquée, les données volées, les chats et bien plus encore. Vous pouvez remercier Lockbitsupp et son infrastructure défectueuse pour cette situation… nous pourrions vous contacter très bientôt. Nous vous souhaitons une bonne journée. Avec nos salutations, la National Crime Agency du Royaume-Uni, le FBI, Europol et l’Operation Cronos Law Enforcement Task Force ».
La faille CVE-2023-3824 exploitée par les forces de police
La plate-forme principale de LockBit et d’autres infrastructures essentielles qui ont permis à l’entreprise criminelle de fonctionner a été visée soit 34 serveurs mis hors ligne. « En outre, deux membres de LockBit ont été arrêtés en Pologne et en Ukraine à la demande des autorités judiciaires françaises. Trois mandats d’arrêt internationaux et cinq actes d’accusation ont également été émis par les autorités judiciaires françaises et américaines. Les autorités ont gelé plus de 200 comptes de crypto-monnaie liés à l’organisation criminelle, ce qui témoigne de la volonté de perturber les motivations économiques à l’origine des attaques par ransomware », a également indiqué Europol.
Selon vx-underground, le piratage des serveurs de Lockbit a été réalisé via l’exploitation d’une faille critique (CVE-2023-3824) dans PHP pouvant conduire à un débordement du tampon de la pile, conduisant potentiellement à une corruption de mémoire ou à de l’exécution de code à distance. De son côté le chercheur en sécurité Kevin Beaumont a identifié 3 services de Lockbit encore en ligne dont un servant toujours à voler des données. « LockBit dispose toujours d’une infrastructure en ligne qui fonctionne toujours. Il est assez ahurissant de constater que depuis 4 ans et 170 jours, ces types se livrent à des cambriolages d’écoles et d’hôpitaux et qu’ils viennent encore d’en faire ». La liste des victimes de LockBit comprend Manitou, le département du Loiret, Continental, Subway, la Poste anglaise, l’administration fiscale italienne…