Les autorités américaines et britanniques identifient, sanctionnent et scellent l'acte d'accusation contre le dirigeant du groupe LockBit Rançonlogiciel

Aujourd'hui, les États-Unis et le Royaume-Uni ont désigné Dmitry Yuryevich Khoroshev, ressortissant russe et dirigeant du groupe LockBit basé en Russie, pour son rôle dans le développement et la distribution de LockBit Rançonlogiciel.

Cette désignation est le fruit de la coopération et de la collaboration entre le Trésor américain, le département d'État américain, le Department of Justice, le Federal Bureau of Investigation, la National Crime Agency du Royaume-Uni, la police fédérale australienne et d'autres partenaires internationaux. 

Parallèlement, le Department of Justice a levé les scellés sur un acte d'accusation et le ministère des affaires étrangères a annoncé une offre de récompense pour toute information conduisant à l'arrestation et/ou à la condamnation de Khoroshev.

Cette désignation fait suite à plusieurs autres actions récentes du gouvernement américain contre les cybercriminels russes impliqués dans le Rançonlogiciel, notamment la perturbation de l'infrastructure du LockBit Rançonlogiciel et les sanctions contre les filiales du groupe LockBit. 

LockBit est l'un des groupes de Rançonlogiciel les plus prolifiques au monde. Le groupe a eu un impact sans précédent sur les entreprises et les infrastructures critiques du monde entier, en utilisant un modèle de Rançonlogiciel(RaaS) pour mener des milliers d'attaques et extorquer aux victimes d'importants paiements de rançon en crypto-monnaie. Grâce à une analyse de la chaîne, TRM estime que les adresses contrôlées par les administrateurs de LockBit et ses affiliés ont reçu plus de 160 millions de livres sterling (ou 200 millions de dollars) en bitcoins depuis 2022, dont plus de 85 millions de livres sterling (ou 110 millions de dollars) n'ont pas encore été dépensés dans de multiples adresses de la chaîne.

L'OFAC ajoute une adresse cryptographique associée à Khoroshev à la liste des sanctions

En plus de désigner Khoroshev aujourd'hui, l'Office of Foreign Assets Control du Trésor américain a également ajouté - XBT bc1qvhnfknw852ephyc5hm4q520zmvf9maphetc9z - une adresse en crypto-monnaie associée à Khoroshev à la liste des sanctions aujourd'hui.

Selon TRM Labsl'adresse sanctionnée par l'OFAC est associée à des centaines d'autres adresses liées à Khoroshev. Khoroshev a déplacé des fonds par le biais d'une chaîne d'épluchage, en effectuant de multiples dépôts sur différentes bourses mondiales.

‍

‍

Le rôle de Khoroshev en tant que leader et développeur de LockBit

Selon la désignation d'aujourd'hui, Khoroshev est l'opérateur principal du nom bien connu et public de la cybercriminalité liée à LockBit, "LockBitSupp". En tant que chef du groupe LockBit et développeur du LockBit Rançonlogiciel, Khoroshev a joué divers rôles opérationnels et administratifs pour le groupe de cybercriminels et a bénéficié financièrement des attaques du LockBit Rançonlogiciel . En outre, Khoroshev a facilité la mise à niveau de l'infrastructure de LockBit, recruté de nouveaux développeurs pour le Rançonlogiciel et géré les filiales de LockBit. Il est également responsable des efforts déployés par LockBit pour poursuivre ses activités après leur interruption par les États-Unis et leurs alliés au début de l'année.

L'impact économique de LockBit 

Depuis janvier 2020, LockBit est la variante de Rançonlogiciel la plus déployée dans le monde, avec des affiliés ciblant des organisations de tailles diverses dans un éventail de secteurs d'infrastructures critiques, y compris les services financiers, l'alimentation et l'agriculture, l'éducation, l'énergie, les services gouvernementaux et d'urgence, les soins de santé, l'industrie manufacturière et les transports. Parmi les attaques notables de LockBit, on peut citer celles contre Entrust (juin 2022), l'Agence fiscale italienne (juillet 2022), Royal Mail (janvier 2023), IBM (mai 2023), Carthage Area Hospital & the Clayton-Hepburn Medical Center (septembre 2023), et Boeing (novembre 2023).

Le coût économique de ces attaques va bien au-delà du paiement initial de la rançon et inclut les pertes liées à l'interruption des opérations et à l'atteinte à la réputation. Le rapport Cost of a Data Breach Report 2023 d'IBM a estimé que le coût moyen d'une violation de données causée par une attaque de Rançonlogiciel , sans compter le paiement de la rançon, s'élève à 4,45 millions USD. LockBit a commis plus de 2000 attaques confirmées, ce qui laisse supposer que son impact économique pourrait dépasser les 8 milliards de dollars. 

LockBit est passé d'ABCD à LockBit Green.

LockBit est apparu en 2019 comme une évolution d'ABCD Rançonlogiciel. Ses versions ont évolué au fil des ans - de LockBit à LockBit 2.0, également connu sous le nom de LockBit Red, à LockBit 3.0, également connu sous le nom de LockBit Black, à LockBit Green, qui incorpore le code source de Conti Rançonlogiciel. Cette dernière variante propose un programme de récompense pour les bogues, des crypto-monnaies améliorant la confidentialité (par exemple Zcash) et de nouvelles méthodes d'extorsion, incorporant des stratégies issues des opérations BlackMatter et DarkSide Rançonlogiciel . Cette version, dotée de techniques anti-détection et d'une exécution sans mot de passe, a également introduit des attaques par déni de service afin d'étendre les capacités et les tactiques de LockBit pour extorquer les victimes.

LockBit a renforcé son impact grâce à des mesures d'incitation pour les affiliés 

Le modèle opérationnel de LockBit en tant que groupe RaaS a été un facteur clé de l'ampleur de l'impact et de la notoriété que le groupe a atteints. LockBit s'est distingué sur le marché RaaS par la manière dont il a incité ses affiliés à utiliser les outils et l'infrastructure de LockBit pour exécuter des attaques. Ces incitations ont consisté à s'assurer que les affiliés reçoivent d'abord leur part des paiements de rançon, à récompenser les activités promotionnelles et les critiques publiques des plateformes RaaS concurrentes, et à simplifier le déploiement du Rançonlogiciel grâce à des interfaces conviviales.

Tactiques, techniques et procédures (TTP) de LockBit

Les attaques de LockBit Rançonlogiciel impliquent généralement un accès initial par l'exploitation de vulnérabilités, l'hameçonnage ou le forçage brutal des protocoles de bureau à distance. Une fois à l'intérieur d'un réseau, les acteurs de LockBit ont utilisé des outils tels que PowerShell Empire, Cobalt Strike et PsExec pour effectuer des mouvements latéraux et préparer le chiffrement. Ils suppriment souvent les journaux afin d'empêcher la victime de se rétablir. Les acteurs de LockBit, ainsi que les souches de Rançonlogiciel comme Rorschach et Babuk, utilisent ensuite fréquemment une technique appelée chiffrement intermittent, ciblant uniquement des parties de fichiers pour des attaques plus rapides et plus efficaces. En réduisant la durée de la phase d'attaque visible, les attaquants améliorent leurs chances de succès face aux défenses de cybersécurité.

Après le chiffrement des données par LockBit, les auteurs de la menace demandent aux victimes de payer une rançon pour obtenir les clés de déchiffrement. Le groupe Rançonlogiciel exploite également un site de fuites où il publie des informations sur ses victimes. Ce site est utilisé dans le cadre d'une tactique de double extorsion : si une victime refuse de payer la rançon, LockBit menace de publier les données volées sur cette plateforme publique. Le site de fuite sert à faire pression sur les victimes pour qu'elles se conforment aux demandes de rançon en exposant des informations sensibles au public, augmentant ainsi les risques opérationnels et de réputation pour les organisations touchées.

LockBit a utilisé le bitcoin comme principale crypto-monnaie pour faciliter le paiement des rançons, mais avec l'évolution de LockBit 3.0, le groupe a introduit des options de paiement améliorées, telles que ZCash, pour collecter les fonds auprès des victimes et payer ses affiliés.

L'analyse en chaîne de l'activité de LockBit met en évidence la structure opérationnelle du groupe, où les paiements initiaux de rançon des victimes subissent une répartition financière : 80 % vont à l'affilié de LockBit, et 20 % aux administrateurs de LockBit. Les opérateurs de LockBit ont ensuite utilisé Wasabi 2.0 pour mélanger les fonds, ainsi que de multiples échanges non privatifs de liberté et des VASP centralisés aux États-Unis et en Asie pour blanchir les fonds des victimes.

‍

‍

‍

Le rôle de l'Blockchain Intelligence dans la disruption du Rançonlogiciel 

La perturbation d'aujourd'hui s'inscrit dans la série de perturbations que les organismes chargés de l'application de la loi du monde entier ont jugées prioritaires, car le RaaS continue de représenter une menace pour les citoyens et les entreprises. Compte tenu de la nature en constante évolution de cette menace et de ses conséquences économiques, nous nous attendons à ce que l'accent continue d'être mis sur la perturbation des acteurs de la menace Rançonlogiciel . 

Si les groupes de Rançonlogiciel peuvent faire évoluer les TTP et les noms, la blockchain reste un grand livre immuable. Les outils de Blockchain Intelligence continueront à jouer un rôle clé pour permettre les saisies et arrêter les mauvais acteurs. 

TRM est fière de soutenir le Trésor, le DOJ, la NCA et les agences chargées de l'application de la loi dans le monde entier dans leurs efforts constants pour préserver l'intégrité de nos systèmes financiers.