Les agences de cybersécurité gouvernementales font appel à l’expertise de Trend Micro pour neutraliser les opérations du groupe Lockbit

février 2024 par Trend Micro

Trend Micro Incorporated partage son rôle clé dans sa collaboration avec les autorités gouvernementales lors du démantèlement du groupe Lockbit, acteur majeur sur la scène des ransomwares. En ayant infiltré ce groupe, Trend a eu accès au développement en cours ainsi qu’aux dernières versions de l’outillage malveillant, tout en collectant des informations cruciales sur les opérations. Ceci a permis d’empêcher l’utilisation du nouvel outillage lors de futures attaques d’une part et a permis aux clients de Trend Micro de bénéficier d’une protection de manière automatique et proactive, avant le démantèlement, d’autre part.

Robert McArdle, responsable de l’équipe de recherche sur la cybercriminalité de Trend Micro, en contact régulier et privilégié avec le Federal Bureau of Investigation (FBI – US) et la National Crime Agency (NCA - UK), se réjouit : « Nous sommes honorés de constater que la qualité de notre Threat Intelligence puisse servir les agences de sécurité gouvernementales dans la poursuite de notre mission commune de rendre le monde plus sûr ».

Le groupe Lockbit a été impliqué dans 25%* des fuites de données causées par des ransomware en 2023. Ceci représente des milliards de dollars de préjudice pour quelques milliers de victimes par le monde sur les quatre dernières années.

« La semaine passée, Trend protégeait les utilisateurs de Microsoft d’une vulnérabilité critique. Cette semaine, nous avons pris part à l’arrêt des opérations de ce cybercriminel majeur qu’est le groupe Lockbit. Toutefois, ne soyons pas naïfs en pensant que cela va définitivement éliminer les activités du groupe, mais nous savons que sa réputation est endommagée et qu’aucun criminel ne voudra plus s’y associer », poursuit Robert McArdle.

Les détails de l’opération menée se révèlent et incluent des saisies de portefeuilles de cryptomonnaies, des arrestations, des plaintes, des sanctions et du support aux victimes. Au cours de cette opération, les autorités ont pris le contrôle du site de publication des victimes de Lockbit. Ils y publient des informations sur les membres du groupe comme leurs identités, leurs implications dans de précédentes activités. Ceci, dans le but d’endommager la réputation et le niveau de confiance du groupe auprès de l’écosystème de la cybercriminalité, ne donnant plus la volonté aux cybercriminels de s’y associer, cassant ainsi son business model.

Les ransomwares font parties des menaces les plus sérieuses que puissent rencontrer les organisations. Les exemples de victimes ayant souffert d’un arrêt de service à la suite d’une attaque par ransomware sont malheureusement nombreux et touchent différents secteurs d’activités notamment les organisations gérant des infrastructures critiques pour ’Etat. Pas moins d’un milliard de dollars ont été payés par les victimes aux quelques groupes de cybercriminels opérant les ransomwares, ainsi qu’à leurs partenaires.

Ce travail fourni a donné lieu à de nombreux bénéfices :

La mise à disposition par Trend à ses clients d’une protection proactive et avancée contre LockBit-NG-Dev, dernière version de l’outillage du groupe Lockbit.

La neutralisation d’une potentielle nouvelle vague d’attaques par ransomware, préservant ainsi les organisations qui auraient été ciblées.

Une opération menée en collaboration par différentes agences gouvernementales qui -c’est à espérer -va sonner la fin du groupe Lockbit tel qu’on le connaît aujourd’hui.

Une opération qui va tracer le chemin pour une collaboration publique/privée toujours plus efficace.

Alors que Lockbit était sans aucun doute le ransomware le plus prolifique, son démantèlement envoie un signal fort à ses partenaires en cybercrime. Ceux-ci doivent bien réaliser que s’associer à Lockbit dans le futur les exposera à de hauts risques et les soumettra potentiellement à des actions de la part des agences gouvernementales.

Un article est disponible sur notre blog. Celui-ci présente le résultat d’analyse de Trend de la dernière version du ransomware Lockbit, identifiée lors de notre infiltration. Il est disponible ici.

*Basé sur les recherches Trend Micro et l’analyse des sites de publication des victimes de la part de Lockbit.