LockBit a été démantelé, mais il ne faut pas se réjouir trop vite, il pourrait vite réapparaître, prédisent les experts cyber

Des experts cyber estiment que le démantèlement de LockBit par les autorités n'entraînera pas sa mort pour autant. Les chances qu'il revienne sur le devant de la scène sont plus que grandes.

L'un des plus célèbres groupes de pirates informatiques, LockBit, a été démantelé cette semaine par des autorités qui n'hésitent pas à utiliser ses propres outils pour faire la promotion de leurs opérations. Mais « rira bien qui rira le dernier », se disent peut-être certains hackers aujourd'hui. Pour certains experts de cybersécurité, il faut d'ores et déjà s'attendre à voir LockBit réapparaître, sous une forme ou sous une autre.

Le calme dans les attaques par ransomware finira par laissera la place aux successeurs de LockBit

Actif depuis septembre 2019, le groupe spécialisé dans le ransomware LockBit est devenu une référence dans le monde cybercriminel, en ce qu'il est celui à avoir fait le plus de victimes publiquement extorquées. Rien qu'en 2023, il a piégé 396 organisations aux États-Unis, 65 au Royaume-Uni et 51 en France, troisième pays où il était le plus prolifique.

Ce démantèlement, qui va de l'arrestation des collaborateurs de Lockbit à la prise de contrôle du site web par les autorités, va avoir des conséquences sur certains cybercriminels, qui ne voudront peut-être pas retenter l'aventure. Mais s'il faut s'attendre à une réduction du nombre d'attaques par ransomware, celle-ci ne sera que temporaire.

Pour Alexander Zabrovsky, analyste chez Kaspersky, « il ne faut pas négliger la possibilité qu'un autre groupe saisisse cette opportunité pour combler le vide laissé par LockBit, en apprenant de ses erreurs et en étant d'autant plus vigilants dans la mise en œuvre de ses opérations ». La recherche du profit reste la motivation première des pirates informatiques, et nul doute que Lockbit réapparaîtra. Mais quand, comment et sous quelle forme ?

Les groupes très organisés démantelés finissent généralement par réapparaître

Même son de cloche du côté de Check Point, dont les experts rappellent que « la plupart du temps, ce type de groupe ne disparaît pas ». Les chercheurs cyber de l'entreprise estiment que l'on peut et doit s'attendre « à un rebranding, un changement de nom potentiel au cours des prochaines semaines, ou des prochains mois ». Autant donc le dire à nouveau : LockBit n'est sans doute pas définitivement mort.

En revanche, le coup d'arrêt porté par les autorités américaines, britanniques ou encore françaises est plus qu'important. Il fait suite aussi au bannissement de LockBit de la Russie, le mois dernier, des deux principaux forums de piratage du pays. Le groupe, ou ce qu'il en reste, et ses successeurs, vont devoir cravacher pour se remobiliser. Cela découle directement du fonctionnement très professionnel de l'historique LockBit.

Le collectif fonctionnait grâce à un programme de partenariat, garni de 194 comptes d'affiliation. « Pour devenir membre du programme, les candidats devaient passer un entretien et déposer une caution d'un bitcoin, une mesure destinée à protéger les auteurs de ransomwares contre les forces de l'ordre et les experts en cybersécurité », explique Kaspersky. LockBit fournissait « le ransomware et l'infrastructure à d'autres cybercriminels, les affiliés, qui réalisaient ensuite les attaques », complète Check Point. Il faudra probablement du temps au groupe pour renaître de ses cendres. Mais il reviendra, c'est inévitable.