Lockbit a pris un sacré revers le 20 février 2024 avec une série d’arrestations ayant sérieusement mis à mal, voire démantelé un pan du réseau Lockbit. Si l’opération et la coordination internationale sont à saluer ici, il n’aura néanmoins fallu que 5 jours avant que de nouvelles communications du groupe émergent sur la Toile et ébranlent à nouveau les certitudes des entreprises, du secteur comme plus largement, du retour du réseau d’attaques par ransomwares le plus actif depuis 2020.

Depuis à peine plus de 3 ans, le groupe a en effet revendiqué plus de 2000 victimes et auraient engrangé plus de 120 millions de dollars en paiements de rançons. Avec ces multiples arrestations, le FBI a annoncé avoir récupéré plus de 1000 clés de déchiffrement, lesquels ont été partagées aux entreprises ciblées par le logiciel LockbitGreen, dernier ransomware du groupe, opérant depuis 2023 et particulièrement efficace grâce à de grandes capacités de chiffrement accélérées.

Toutefois, le leader du groupe, LockbitSupp lui n’a pas été arrêté et son identité n’est toujours pas connue. Entre quelques campagnes de troll des autorités en ligne, il a surtout mis à profit les derniers jours du mois à remonter une activité car de nouveaux mouvements auraient été détectés. Un grand retour de Lockbit pourrait être attendu, comme cela fut le cas, après une flopée d’arrestations et une saisie des systèmes du groupe BlackCat/ALPHV, qui avait récupéré son infrastructure aux autorités américaines. Il est toutefois intéressant de regarder ce que cette arrestation, et plus généralement l’intensification de la lutte contre les groupes cybercriminels pourrait engendrer.

Fabio Costa, ingénieur en cybersécurité chez Akamai indique ainsi : « La bonnes nouvelle est que les arrestations ou démantèlements de grands groupes se font de plus en plus nombreux : Lapsus$ en 2022, un groupe d’hackers spécialistes de l’ingénierie sociale en Afrique de l’Ouest l’an passé et maintenant Lockbit, et ce grâce à des efforts de collaboration internationale massifs. Toutefois, il est intéressant de regarder comment le secteur s’est massivement structuré sur les dix dernières années et donc la résistance de ces réseaux, ou en tout cas d’une partie de ses membres dans le temps. Démanteler un groupe est un fait, l’empêcher de se décomposer pour prendre de nouvelles formes ou rejoindre d’autres « entreprises » en est une autre. Semblable aux systèmes mafieux comme la Cosa Nostra, l’allégeance peut changer de camp pour maintenir une activité. Et dans le cas de Lockbit, il y a fort à parier que son leader et certains de ses membres ont déjà commencé à remonter une activité voir à créer un Lockbit 2.

Ce coup de filet est intéressant car il pourrait faire évoluer le paysage des menaces, jusqu’ici dominé par les ransomwares et le phishing (qui demeure premier). En effet, par la déconstruction et le ralentissement de l’activité provoqué par l’arrêt de Lockbit, il y a fort à parier que la menace devrait baisser. Toutefois, tout n’est qu’un jeu de chaises musicales : quand un type d’attaque diminue, la montée d’un autre s’opère. Et 2024 pourrait être l’année du DDoS – face à une montée exponentielle de la menace notamment en Europe en 2023 et un recul du ransomware, ces attaques par déni de service pourraient les supplanter. »