Cybersécurité: Lockbit développait un nouvelle version avant l'action de la police

Un Lockbit 4.0 serait-il en cours de développement? Mis "sous contrôle" des autorités depuis le 19 février, le célèbre groupe de hackers russophone spécialisé dans les rançongiciels n'aurait pas dit son dernier mot.

Selon une étude de la société de cybersécurité Trend Micro, menée en collaboration avec la National Crime Agency (NCA) britannique, le groupe de pirates informatiques "travaille presque certainement" sur le développement d'une nouvelle variante.

Cette même variante, qui porte le nom de "LockBit-NG-Dev", pourrait en fait "constituer la base de Lockbit 4.0". La version serait "en cours de test" et demeurerait indépendante de la plateforme qui a été mise en arrêt par les autorités.

Une nouvelle base de code

Trend Micro annonce avoir mis la main sur "l'échantillon" lié à cette nouvelle variante. "La base de code est complètement nouvelle [...] ce qui signifie que de nouveaux modèles de sécurité devront probablement être créés pour la détecter."

L'étude de Trend Micro souligne aussi que ce Lockbit 4.0 "est un rançongiciel fonctionnel et puissant", bien qu'il compte pour le moment "moins de capacité que les versions 2.0 et 3.0, en attendant l'ajout de fonctionnalités supplémentaires".

C'est, d'ailleurs, la version 3.0 du logiciel malveillant qui avait permis au groupe de mener la cyberattaque de l'hôpital de Corbeil-Essonnes en septembre 2022. Les pirates avaient demandé une rançon de 10 millions d'euros puis publié des données médicales des patients et du personnel.

Le groupe de hackers russophone avait aussi attaqué Thalès, une entreprise française spécialisée dans l'aérospatiale et la défense en octobre 2022. À l'échelle internationale, ce sont plus de 111 millions d'euros, provenant de rançons, qui ont été gagnées par le groupe, faisant de lui "le plus prolifique" en la matière.

"Un défi de taille"

Les activités criminelles des pirates informatiques ont été mises à l'arrêt par le NCA, le FBI, Europol et une coalition d'agences européennes le 19 février. Le "démantèlement" annoncé par les autorités suscite le doute de Pascal Péresse, chef de la division des opérations du Centre de lutte contre les criminalités numériques (C3N).

"Je pense qu'on leur fait perdre quelques mois. Ils vont être très désorganisés. Mais ce qu'ils ont mis en place, ils vont être capables de le refaire", avait-il déclaré à Tech&Co.

Selon le média spécialisé BleepingComputer, une restauration de l'activité criminelle de Lockbit devrait être "un défi de taille", notamment à cause de la connaissance du code source du rançongiciel par les chercheurs en sécurité de l'opération Cronos.

Les autorités, en charge de l'opération Cronos, ont annoncé, ce 22 février sur le blog de Lockbit, la fermeture de 14 000 comptes sur des services tiers utilisés par des criminels affiliés au groupe, rapporte The Record.