Une lueur d’espoir pour les victimes du groupe du ransomware Lockbit. « Grâce aux efforts continus contre Lockbit, nous disposons désormais de plus de 7 000 clés de décryptage et nous pouvons aider les victimes à récupérer leurs données et à se remettre en ligne » a déclaré Bryan Vorndran, directeur adjoint de la division cybersécurité du FBI, lors d'un discours prononcé à l'occasion de la 2024 Boston Conference on Cyber Security. Il a ajouté, « Nous tendons la main aux victimes connues de LockBit et encourageons toute personne soupçonnée d'en avoir été victime à se rendre sur notre site Internet Crime Complaint Center à l'adresse ic3.gov ».

Une annonce importante pour les RSSI, même s’il faudra vérifier combien de clés sont encore fonctionnelles. Brian Levine, responsable chez Ernst & Young, qui a supervisé les opérations cyber du FBI quand il travaillait au Département de la Justice, indique à nos confrères d'IDG, « il y a des fortes chances que beaucoup de clés obtenues soient encore efficaces et puissent déverrouiller les données des entreprises victimes qui ont choisi de ne pas payer la rançon ou qui ont reçu des clés qui n'ont pas fonctionné ou qui ont fonctionné de manière incomplète ».

Plusieurs moyens d’association clé-victime

Pour associer la clé à une victime, les autorités peuvent l’identifier de différentes manières, précise Brian Levine. Parfois, le nom d'une personne piégée se trouve dans une base de données SQL de LockBit qui la relie à des clés spécifiques. Mais cela n'arrive pas souvent, car « les notes peuvent être trop cryptiques » ou l'attaquant réel n'est qu'un affilié de LockBit. La façon la plus probable dont le FBI associera des clés spécifiques à des victimes dédiées - en supposant qu’elles contactent les autorités - est que « le FBI générera un script qui exécutera les plus de 7 000 clés » contre les fichiers toujours verrouillés de la cible », a déclaré Brian Levine. Il est également possible que LockBit ait réutilisé des clés.

Pour l’ancien membre du département américain de la justice, la principale vertu de l’annonce du FBI et de pousser les entreprises impactées à contacter l’agence. En cas de cyberattaque, les victimes sont souvent démunis pour savoir qui contacter au sein des autorités judiciaires.