LockBit : le gang de rançongiciel décrypté
![Image Contenus intimes et IA : que faire face à la déferlante des [contenus abusifs ?]](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-dark-content-web-885x690.jpg)
![Image L’IA en [cyber threat intelligence] : un apport contrasté](https://incyber.org//wp-content/uploads/2024/03/incyber-news-artifical-intelligence-cybersecurite-cybersecurity-885x690.jpg)
![Image [Vie privée et protection de l’enfance :] comment trouver le juste équilibre face aux contenus sexuels déviants ?](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-child-protection-2024-885x690.jpg)
![Image Une autorité gouvernementale américaine critique la [cybersécurité défaillante de Microsoft]](https://incyber.org//wp-content/uploads/import/post/2022/04/google-critique-la-microsoft-dependance-du-gouvernement-us-885x690.png)
Un chercheur en sécurité d’Analyst1 s’est infiltré au plus près du groupe cybercriminel
L’expert en cybersécurité d’Analyst1 Jon DiMaggio a publié, en janvier 2023, le premier volet d’une longue enquête sur le gang de rançongiciel LockBit. Baptisée Ransomware Diaries: Volume 1, elle s’appuie notamment sur une tentative d’infiltration du groupe.
L’analyste a ainsi postulé pour devenir affilié de LockBit. Même s’il a échoué au test d’évaluation, il est resté dans le canal de la messagerie Tox du gang. Il a ainsi pu suivre de nombreux échanges du groupe. Puis, en se faisant passer pour un sous-traitant allemand, il a pu échanger directement avec LockBitSupp, le compte de la direction du groupe cybercriminel.
Jon DiMaggio pense d’ailleurs qu’au moins deux personnes se relaient derrière LockBitSupp. Il estime aussi que les dirigeants de LockBit sont probablement originaires de Russie ou d’un pays d’Europe de l’Est.
Pour l’analyste, LockBit reste vulnérable bien qu’il soit actuellement le groupe RaaS le plus rentable du monde. Il estime qu’avec une bonne couverture, un agent gouvernemental pourrait devenir un affilié de LockBit, et accéder ainsi à des informations sensibles.
Mais selon lui, la principale faiblesse de LockBit est sa position dominante. D’anciens membres-clés du groupe, ou des concurrents cybercriminels pourraient avoir intérêt à le fragiliser.
Ainsi, en septembre 2022, une partie du code source du rançongiciel a fuité. LockBit a attribué cette divulgation à un ancien développeur ayant des problèmes d’alcool. Cet homme est désormais considéré comme une « cible de grande valeur » pour les autorités.
LockBit aurait par ailleurs une réputation exécrable auprès des autres cybercriminels. Le gang pâtit de son succès, de certaines campagnes de publicité douteuses (rémunérer des anonymes qui se font tatouer « LockBit » sur la peau), et de sa tendance à diffamer les autres groupes cybercriminels.
Pour Jon DiMaggio, ce besoin « de passer du temps et de l’énergie à se plaindre de leurs concurrents » est l’une des grandes originalités de LockBit. Une originalité qui pourrait finir par se retourner contre le groupe, juge-t-il.