News
Sophos : commentaire de Chester Wisniewski sur le démantèlement LockBit
février 2024 par Chester Wisniewski, Global Field CTO chez Sophos
Chester Wisniewski, director, field CTO chez Sophos revient sur les dernières nouvelles concernant LockBit. Le 19 février, les forces de l’ordre ont annoncé une victoire majeure dans la lutte contre ce groupe de ransomware très prolifique : elles ont réussi à démanteler l’infrastructure web du groupe, à arrêter deux de ses membres et à en inculper deux autres.
Sophos X-Ops, l’équipe d’experts de Sophos, a suivi l’évolution de LockBit au cours des quatre dernières années et demie. Selon l’analyse de l’équipe de réponse aux incidents de Sophos X-Ops, LockBit fait partie des dix infections par ransomware les plus signalées depuis 2020 ; avec la disparition de Conti début 2022, LockBit s’est hissé au sommet du classement. Il représentait finalement une infection par ransomware sur cinq observée par Sophos X-Ops en 2023 - une omniprésence comparable à celle de Conti à son apogée.
Selon Chester Wisniewski, directeur, Field CTO, Sophos :
« Le travail de la National Crime Agency (NCA) au Royaume-Uni et de ses partenaires internationaux a porté un coup sévère au syndicat criminel de ransomwares le plus prolifique au monde. Depuis l’implosion de Conti en mai 2022, nous n’avons jamais eu autant d’informations sur le mode de fonctionnement de ces groupes. La nature décentralisée de ces derniers les rend particulièrement difficiles à traquer. »
« Ce démantèlement nous apprend des faits essentiels sur Lockbit. Il semble que les forces de l’ordre aient eu accès aux clés de chiffrement utilisées pour verrouiller les fichiers des victimes et qu’elles les fourniront pour aider à la restauration des données et systèmes ; nous espérons que cela accélérera la récupération et réduira l’impact sur les cibles de Lockbit. Il a également été révélé que les données des personnes ayant payé la rançon n’ont pas été supprimées par les criminels, ce qui n’est malheureusement pas une surprise. »
« Une grande partie de l’infrastructure de Lockbit est toujours en ligne, mais je ne m’attends pas à un retour triomphal. Ces groupes changent continuellement de marque et se regroupent sous différentes bannières pour continuer à saccager les réseaux de victimes innocentes et prendre des identités nominatives pour échapper aux sanctions. Ce n’est qu’un au revoir pour le moment, mais tout comme d’autres groupes avant eux, ceux qui n’ont pas été appréhendés sont susceptibles de continuer à commettre des crimes. La vigilance reste de mise et nous devons rester sur nos gardes. »
