En février 2024, les administrateurs de la Russie forum de piratage XSS a banni le compte principal de LockBit actif sur le forum. Ce bannissement faisait suite à un différend entre LockBit et un courtier d'accès initial opérant sous le nom d'utilisateur « aa ».
Voici une conversation entre AA et LockBit, publiée sur XSS alors qu'AA demandait un arbitrage pour contraindre LockBit à payer :
Discussion initiale concernant un accès non autorisé à un réseau d'entreprise avec des privilèges d'administrateur de domaine. L'acteur malveillant « aa » a fourni des détails sur cet accès illicite.
[15:02:42] aa : Bonjour. L’accès est bon.
[15:02:45] aa : (Description de l'accès 1)
[15:03:31] aa : Leur domaine principal est en cours de suppression. Il n'y a pas de branche ni rien de ce genre.
[15:04:09] aa : Il existe encore des accès de cet ordre. Tous avec des administrateurs de domaine.
[22:05:42] LockBitSupp : Bonjour, et vous tous qui avez des antivirus qu’on ne peut pas désactiver ?
[22:06:30] aa : Bonjour. Ils sont plus importants là-bas, il y a généralement de l'EDR partout, mais celui-ci était le plus agaçant. Je peux vérifier si nécessaire.
[22:07:32] aa : Mais pas sur les autres, pas sur le cortex.
[22:09:20] aa : lien si quelque chose
[22:18:44] LockBitSupp : Vous avez un vérificateur d'hôte ?
[22:22:34] aa : Je n'ai pas bien compris la question.
[22:23:34] LockBitSupp : Y a-t-il internet là-bas ? Êtes-vous entré ou non ?
[22:26:14] aa : OUI
[22:26:20] aa : Est entré
[22:26:32] aa : Il n'y a pas d'internet
[22:26:38] aa : Du moins pas sur le DC
[22:27:50] LockBitSupp : Voyons voir cet accès maintenant.
LockBitSupp demande à aa de ne pas accéder directement au contrôleur de domaine, car cela pourrait alerter l'entreprise. aa fournit des identifiants d'accès compromis supplémentaires.
[22:28:36] LockBitSupp : mais en général, il ne faut jamais aller au centre de données car ils vous expulseront en moins d'une heure.
[22:29:37] aa : Eh bien, ça fait trois semaines que c’est en panne chez moi.
[22:29:58] LockBitSupp : accès plus rapide
[22:30:21] aa : Identifiants Access1
[22:30:30] aa : Accès1
[22:30:49] aa : Vous ne pourrez peut-être pas vous connecter depuis Windows, mais vous connaissez probablement cette blague.
[En attente] : 2023-12-22
[00:08:16] aa: ?
[07:36:46] LockBitSupp : J’ai réussi à me connecter. Envoyez-moi toutes les informations disponibles sur le réseau, et je m’en occuperai.
[16:58:10] aa : Bonjour. Aucune information supplémentaire, j'ai simplement accordé les droits et je n'ai pas cherché plus loin. Une sauvegarde LDAP est disponible si nécessaire.
[16:59:01] aa : Si vous avez des commandes de ce niveau, je peux vous en donner environ 5 autres similaires, toutes avec DA. Mais tout devrait être plus simple.
[En attente] : 2023-12-24
[17:44:37] aa : Bonjour. Des nouvelles ?
[17:58:54] LockBitSupp: Bonjour, pas de nouvelles pour le moment, le réseau est en cours de réparation.
[17:59:45] aa : Au fait, je voulais juste le vendre) Mais si en cours de route je ne l'ai pas vendu mais que je l'ai donné, quel est le pourcentage au moins ?
[18:01:18] LockBitSupp : Commençons par terminer et obtenir le paiement, puis nous déciderons de la suite.
[18:01:28] LockBitSupp : Vous ne croyez pas que tous les réseaux paient ?
[18:04:16] aa : Oui, je sais tout ça, tout comme je sais combien il est difficile de se faire payer, même un petit peu, par une grande chaîne. C’est pour ça que je voulais le vendre, mais bon, j’attendrai alors.
[18:06:19] LockBitSupp : Acheter n'est pas très intéressant non plus, surtout auprès d'un fournisseur non vérifié, on ne sait jamais combien de mains sont passées le réseau.
[En attente] : 2023-12-25
[16:31:34] aa : Bonjour. Access2 est également compatible. DA, pareil.
[16:32:13] aa:
[16:32:19] aa:
[16:33:32] aa:
[17:57:39] LockBitSupp : Bonjour, ça devient plus intéressant, où les obtenez-vous ?
[17:58:37] aa : J’ai mes propres affaires. Et je revendique déjà davantage mes droits.
[17:58:59] LockBitSupp : Pourquoi ne pas vous couvrir ? Voler les données ?
[18:15:36] aa : (Personnel)
[18:17:20] LockBitSupp : D'accord
Dans la séquence suivante, LockBitSupp et aa discutent de la distribution, parmi les affiliés LockBit de confiance, des accès obtenus illégalement par aa à divers réseaux de l'entreprise. aa mentionne un réseau à forte valeur ajoutée (« Access3 ») disposant de privilèges d'administrateur de domaine, mais précise que les identifiants doivent être régulièrement mis à jour. LockBitSupp déconseille de laisser expirer ces accès et suggère de les partager immédiatement avec des affiliés ayant déjà engrangé des millions grâce à des attaques. Ils conviennent de commencer par fournir un réseau plus restreint (« Access4 ») à un affilié motivé, à titre de test : aa fournira les identifiants et LockBitSupp les fichiers de données nécessaires à l'attaque.
[18:17:20] LockBitSupp: Très bien, essayons de faire quelque chose avec ça. Les meilleurs affiliés sont hors ligne pour le moment. Si vous le souhaitez, vous pouvez me donner l'accès directement. Dès qu'ils se connecteront, je le leur donnerai pour qu'ils travaillent s'ils sont d'accord, afin de ne pas perdre de temps et de ne pas attendre que vous soyez en ligne.
[18:19:23] aa : Il y a une nuance, il faudra attendre que je vous explique. L'entrée sera spécifique, mais le réseau est au top. Je dois cependant continuer à mettre à jour leurs informations de connexion.
[18:19:37] LockBitSupp : +
[18:19:59] LockBitSupp : nous attendrons alors la réponse des principaux annonceurs.
[18:21:39] aa : S’il y a de bons annonceurs avec garantie par votre intermédiaire, je peux fournir du contenu de très bonne qualité, ainsi que du contenu plus simple. Car je suis actuellement sur
[18:23:59] LockBitSupp: Je ne donne pas de matériel à ceux en qui je n'ai pas confiance, je ne le donne qu'à des personnes qui ont fait leurs preuves au fil des ans et seulement à celles qui ont été payées des millions de dollars, je leur fais confiance.
[18:24:47] aa:
[18:25:03] aa : J'en utilise un nouveau depuis novembre.
[18:27:28] LockBitSupp : Écoutez, décidez par vous-même, s'il existe des accès plus simples sans EDR, je peux les donner à d'autres affiliés qui sont moins chargés et moins compétents, mais qui ont également été payés des millions de dollars.
[18:28:51] aa:
[18:28:53] LockBitSupp :
[18:29:07] LockBitSupp :
[18:30:55] aa: Puis, un peu plus tard, à partir du prochain lot, je vous écrirai pour vous dire ce qu'il y a et nous l'examinerons.
[18:31:20] LockBitSupp : c'est quoi cet accent ?
[18:31:42] aa:
[18:32:20] aa:
[18:33:49] LockBitSupp: Nous pouvons en fait diffuser et distribuer tous vos accès à différents annonceurs pour tout traiter simultanément.
[18:33:49] aa : J’ai Access3, par exemple. Mais il est très volumineux. Et oui, avec l’autorité de certification incluse, l’autorité de certification est bien en confiance.
[18:35:44] LockBitSupp : Pas besoin d’attendre que l’accès expire, il faut en faire quelque chose.
[18:36:43] aa : C'est ce que je fais depuis un an maintenant.
[18:37:00] aa : Je peux vous donner la liste de tout ce qui m’est tombé dessus. Je prends DA pour qu’on puisse le récupérer.
[18:37:10] aa : Ça ne marche pas toujours.
[18:37:20] LockBitSupp : Que faites-vous ? Vous attendez que les accès expirent ?
[18:37:32] aa : Oui.
[18:37:57] LockBitSupp : Ne faites pas ça, je suis à votre service.
[18:39:38] aa : Je n'ai pas donné Access3.
[18:39:46] aa:
[18:40:42] aa : Toi aussi, tu es partout.
[18:41:11] LockBitSupp : Laissez-moi distribuer tous vos réseaux aux annonceurs, pourquoi attendre qu’ils meurent.
[18:41:54] aa : Existe-t-il des personnes de ce niveau ?
[18:42:05] aa : Juste pour ne pas s'en offenser.)
[18:42:52] LockBitSupp : Écoutez, comment pourrais-je savoir à quel niveau ils sont, je vois des milliers de chats, je vois qui reçoit régulièrement des paiements, qui a attaqué qui, si des paiements arrivent, cela signifie qu'ils sont avec des mains.
[18:43:28] LockBitSupp: Donnons celui-ci à une personne maintenant, demande-t-il, nous allons essayer de le rendre aussi bon que possible, commençons par un petit peu.
[18:45:19] aa : Disons que c'est la seule hémorroïde ?)
[18:45:59] aa : J’ai une hémorroïde comme ça. Mais elle est plutôt classe en ce qui concerne les paiements.
[18:46:10] LockBitSupp: Eh bien, donnons-lui un accès plus rapide pendant que l'annonceur est sur le point de démarrer la connexion, s'il réussit à gérer cela, nous lui donnerons un réseau plus grand.
[18:47:40] aa : Access4, essayons celui-ci pour que l'entrée se fasse sans problème ?
[18:47:46] aa : Accès4
[18:48:00] aa : Accès4
[18:48:18] aa : Peut-être me ferez-vous confiance et je vous expliquerai.
[18[18:48:18] aa: Peut-être alors me ferez-vous confiance et je vous expliquerai.
[18:48:20] LockBitSupp : Prenons n'importe qui pendant que l'annonceur est chaud et prêt à se battre.
[18:49:52] aa : Accès4
[18:50:06] aa : Accès4
[18:50:11] aa : Il est également l'administrateur là-bas.
[18:50:24] aa : Accès4
Access4
[18:50:26] aa : Accès4
[18:50:54] aa: Ce sont d'autres personnes qui se sont fait prendre avec des mots de passe ouverts qui pourraient être nécessaires soudainement.
[18:50:58] aa : Accès4
[18:52:24] LockBitSupp : Est-ce tout ce que vous savez ?
[18:52:50] aa : Accès4
[18:53:25] LockBitSupp: Je te donnerai tous les dumps pour que ce soit moins de travail pour lui et moins d'exposition.
Partage de fichiers:
Service de notes privées :
Dans cette partie de la conversation, LockBitSupp et aa poursuivent la coordination des attaques contre différents réseaux de l'entreprise. aa fournit des identifiants supplémentaires et des données sensibles pour « Access4 », tandis que LockBitSupp sollicite des accès à plus petite échelle pour d'autres filiales et informe aa qu'une filiale importante est prête à gérer une intrusion de grande ampleur. aa partage un accès basé sur les cookies pour « Access2 » et un accès à « Access5 », qui ne requiert pas de méthode d'authentification particulière. LockBitSupp affecte des filiales à l'exploitation des nouveaux accès, gère les négociations en cours concernant « Access1 » et tient aa informée de l'avancement des attaques, notamment des vols de données et des problèmes rencontrés.
[20:05:24] aa : Accès4
[20:05:27] aa : ntds
[20:06:25] aa : Accès4
[En attente] : 2023-12-26
[13:53:54] LockBitSupp : Avez-vous d’autres petits éléments de ce genre ? Je les distribuerai à d’autres annonceurs.
[14:20:43] LockBitSupp: Un annonceur majeur a répondu avec deux équipes pour un accès important, donnez-moi cet accès important.
[16:32:50] aa : Bonjour, vous devrez vous connecter via les cookies.
[16:33:42] aa : Accès2
[16:34:07] aa : Accès2
[16:34:35] aa : Accès2
[16:34:59] aa : Accès2
[18:59:48] LockBitSupp : Alors, c'est quoi cette entreprise ?
[19:07:33] LockBitSupp: Ah, je comprends, c'est Access2.
[21:48:11] aa : Avez-vous pu entrer ?
[21:48:30] aa : Accès5
[21:48:39] aa : Mais là, vous pouvez entrer sans aucun problème.
[22:08:37] LockBitSupp : Je n'ai pas encore accédé à la plateforme. L'annonceur indique qu'il est en train de démanteler deux grandes entreprises et que la plateforme ne sera gratuite qu'à la mi-janvier. Il a écrit à un autre annonceur : « Je te préviendrai quand tu devras créer un proxy. »
Essayons aussi de configurer Access5 pour quelqu'un d'autre.
[En attente] : 2023-12-28
[14:33:23] aa : Bonjour, avez-vous fait quelque chose ?
[23:04:38] LockBitSupp: Bonjour, en cours de traitement.
[23:09:10] LockBitSupp : Créez-moi un nouveau proxy pour Access2, un autre annonceur expérimenté est apparu en ligne et semble prêt à commencer à travailler.
[23:30:06] aa : Accès2
[23:30:58] aa : Si l’annonceur est connecté, je peux lancer l’opération. Sinon, nous pouvons convenir d’une heure précise où tout le monde sera en ligne.
[En attente] : 2023-12-29
[09:56:48] LockBitSupp: Allez-y, émettez de nouveaux cookies ou autre, je lui ai dit de rester connecté pour que rien ne s'arrête.
[20:39:06] LockBitSupp : Accès2
[En attente] : 2024-01-03
[03:59:36] aa : Bonjour
[03:59:40] aa : Des nouvelles ?
[13:33:10] LockBitSupp: Bonjour, les négociations ne concernent toujours que l'accès 1 (combien devrions-nous demander, à votre avis ? l'annonceur dit qu'il a supprimé les sauvegardes) mais n'a pas volé autant de données pour le blog qu'il le souhaitait car il y avait un problème avec Internet et il dit qu'il n'y avait pas d'opportunité de voler beaucoup.
Le reste est en cours de traitement (des données sont volées et c'est tout ce que les annonceurs m'ont écrit ces derniers temps).
Access1
Dans cette partie de la conversation, LockBitSupp et aa poursuivent la coordination des attaques contre différents réseaux de l'entreprise. aa fournit des identifiants supplémentaires et des données sensibles pour « Access4 », tandis que LockBitSupp sollicite des accès à plus petite échelle pour d'autres filiales et informe aa qu'une filiale importante est prête à gérer une intrusion de grande ampleur. aa partage un accès basé sur les cookies pour « Access2 » et un accès à « Access5 », qui ne requiert pas de méthode d'authentification particulière. LockBitSupp affecte des filiales à l'exploitation des nouveaux accès, gère les négociations en cours concernant « Access1 » et tient aa informée de l'avancement des attaques, notamment des vols de données et des problèmes rencontrés.
[13:33:41] LockBitSupp : Le moment est venu de fixer un prix cible, votre avis ?
[En attente] : 2024-01-04
[13:09:38] LockBitSupp : Où êtes-vous passé ? L’annonceur est impatient de travailler.
[13:43:06] LockBitSupp : Signalement d'une de vos sociétés provenant d'un autre annonceur.
Access3
[13:46:13] LockBitSupp : Volé par eux.
[15:53:32] aa : Bonjour. Aujourd’hui, je laisse tout tomber, je suis constamment distraite.
[15:53:43] aa : J’allais justement t’écrire des messages et je suis encore distraite.
[15:53:43] aa : J'étais sur le point de t'écrire des messages et je suis à nouveau distrait.
[15:54:00] aa : Merci de me prouver que je ne suis pas un imbécile et que tout peut être fait correctement.
[16:00:31] LockBitSupp :
[16:01:14] aa: 5 minutes.
[16:04:32] aa : Accès2
[16:07:01] aa : Accès2
[16:07:10] aa : Accès2
[16:08:07] LockBitSupp : Que pensez-vous de la rançon pour Access1 ?
[18:02:23] aa : Il n’y a rien de critique ici, n’est-ce pas ? (le montant)
[18:05:08] aa : Avez-vous réussi à entrer ?
[18:42:57] LockBitSupp : Je suis entré, il y a Falcon, que sommes-nous censés faire avec ce réseau ?
[18:54:38] LockBitSupp : Donc, il va essayer de faire tout son possible pour voler des données, car c'est l'un des antivirus les plus performants. Vos réseaux sont-ils tous comme ça ? Sans antivirus, vous vous en chargez vous-même ?
[18:56:30] LockBitSupp : Donnez-moi aussi quelques accès plus petits pour que les autres annonceurs ne s'ennuient pas.
[19:19:21] aa : Pas tous.
[19:20:58] aa : Mais je voulais offrir un accès privilégié. ACCESS3. Vous pouvez y accéder normalement sans cookies.
[19:21:10] aa : Il reste encore un petit détail à régler. Je n'ai pris qu'un seul domaine.
[19:21:14] aa : Il y en a 7.
[19:21:22] aa : Et là, l'AV est plus simple, je pense.
[19:21:29] aa : Sophos si je ne me trompe pas.
[19:22:33] LockBitSupp: Eh bien, donnez-moi ce miel.
[19:25:00] aa : Pour info, je ne comprends rien aux antivirus et aux sauvegardes. Je me contente de les confier à quelqu'un et, parfois, de transférer des données. En théorie, je sais, mais surtout avec les gros antivirus, je n'ai jamais rencontré ce problème. Alors, pas la peine de me mettre la pression pour Falcon ;)
[19:25:12] aa : 10 minutes et je télécharge, j'ai beaucoup d'infos à ce sujet.
[19:26:03] LockBitSupp: Je ne vous mets pas la pression, je vous dis juste que peu de gens peuvent les gérer, l'AV vous allume au moindre bruit.
[19:26:41] LockBitSupp : Au cas où vous penseriez que nous sommes des surhommes omnipotents, nous allons maintenant détruire le réseau et vous vous demanderez quels connards ont foutu en l’air votre réseau ;)
[19:32:11] aa : Tu as déjà fait ce qui aurait tout tué pour moi.
[19:35:30] aa : ACCESS3
[19:41:13] aa : ACCESS3
[19:41:50] aa : ACCESS3
[19:42:32] aa : ACCESS3
[19:47:22] aa : Quant aux réseaux de taille moyenne, j’en reçois environ une fois par mois, par lots. J’ai distribué ceux de taille moyenne en novembre et décembre, malheureusement aux mauvaises personnes.
[19:59:47] aa : Est-ce que je ne pourrais pas avoir accès aux conversations par accident ? Ce serait intéressant de suivre les négociations.
[En attente] : 2024-01-05
[09:47:21] LockBitSupp : Alors, de quel accès s’agit-il ? Ce n’est pas très clair.
Vous pouvez avoir accès aux conversations, mais vous exclurez alors la victime de la conversation. Je pourrais vous donner les identifiants des victimes et tout le reste, vous observeriez leurs conversations de leur côté, mais lorsque vous entrerez dans la conversation, elles seront expulsées et elles pourraient paniquer en pensant que quelqu'un d'autre y a accès, comme si la conversation n'était pas privée, etc.
[10:52:31] aa : ACCESS3
[10:53:04] aa : ACCESS3
[10:56:45] aa : Mais je n’ai DA que dans une seule fiducie. J’ai immédiatement supprimé ntds pour simplifier les choses.
[10:56:55] aa : ACCESS3
[10:59:45] aa : Je peux prendre DA dans tous les domaines. Mais ce sera un peu risqué et compliqué. Car je ne peux même pas charger BloodHound à cause de la taille du réseau.
[11:00:46] aa : Ce serait tout simplement mieux et il y aurait plus de chances si une personne plus expérimentée prenait la relève.
[11:20:02] LockBitSupp : Nous attendrons avec ACCESS3, l'annonceur a dit qu'il serait libre le 8 et prêt à prendre le relais.
[11:20:41] aa : Et combien a dit Access1 ?
[11:21:12] LockBitSupp : Figures.
[11:21:24] aa : J'estime toujours très bas.))
[11:22:26] LockBitSupp : Eh bien, c'est une marge pour une réduction.
[11:23:08] LockBitSupp : Toujours aucune réponse.
[En attente] : 2024-01-08
[10:11:14] LockBitSupp : Besoin de nouveaux pour Access2.
[16:29:29] aa : Bonjour.
[16:29:33] aa : Je vais le faire maintenant.
[16:38:30] aa : Accès2
[16:39:52] aa : Des nouvelles des autres ?
[20:34:20] LockBitSupp : Pas de nouvelles des autres pour le moment.
[20:34:48] LockBitSupp: Le travail est en cours, vous comprenez que le processus n'est pas rapide, il n'est pas nécessaire de se précipiter ici.
[20:35:05] LockBitSupp : L'important c'est le résultat, pas la vitesse.
[20:40:04] aa : Tu es entré ?
[20:40:21] aa : Je suis plus intéressé par les nouveaux messages d'Access1.
[21:00:48] LockBitSupp : Négociations avec Access1…
Rien de significatif, je leur donne une autre liste, l'annonceur a réussi à voler très peu de fichiers, ils semblent s'en rendre compte, donc les chances de succès ne sont pas grandes, mais j'essaie de m'en sortir en bluffant.
Dans cette partie de la conversation, LockBitSupp et aa discutent des négociations de rançon en cours et des difficultés rencontrées lors des différentes attaques. Les négociations concernant « Access1 » n'avancent pas, l'affilié n'ayant pas réussi à dérober une quantité significative de données. Par ailleurs, des problèmes d'identifiants et de sécurité entravent la progression des négociations sur « Access2 » et « Access3 ». LockBitSupp refuse une première offre de rançon pour « Access1 », souhaitant négocier un montant plus élevé, et exprime son désir d'effectuer le premier versement à aa afin d'instaurer un climat de confiance en vue d'une future collaboration. aa l'encourage à accepter l'offre actuelle, persuadé qu'un paiement le motivera à fournir des cibles plus importantes. LockBitSupp réaffecte des affiliés pour relever les défis posés par chaque réseau et tient aa informé de l'avancement des attaques, notamment de l'état des négociations, du vol de données et des obstacles rencontrés, tels que les logiciels antivirus et les pare-feu.
[21:00:48] LockBitSupp: Access2 ne fonctionne pas, je viens de vérifier, donnez-m'en un nouveau, assurez-vous qu'il fonctionne.
[21:13:24] aa : Accès2
[21:13:41] aa : Accès2
[21:17:57] aa : De plus, si j’ai bien compris, l’affilié n’a pas non plus utilisé les données les plus récentes. Les affiliés ont-ils utilisé Access3 ?
[21:18:28] aa : Je comprends maintenant bien comment les faire correctement avec Access3.
[21:19:40] LockBitSupp : Peu importe ce que le partenaire a pris, on ne peut plus rien y changer. Il s'est plaint qu'un pare-feu ou quelque chose du genre l'empêchait de faire ce qu'il voulait. Et toi, tu serais capable de voler des données toi-même ? Ou tu n'essaierais même pas ? Des conseils ? Je suis très curieux.
[21:42:54] aa : Accès3
[21:44:09] aa : Accès3
[21:45:27] LockBitSupp : Compris, je donnerai à l’annonceur des instructions séparées concernant les données pour Access3, mais le verrouillage pour des raisons d’ordre ne fera de toute façon pas de mal.
[22:13:08] LockBitSupp: Vous m'avez promis Access3.
[En attente] : 2024-01-09
[16:08:01] aa : Accès3
[16:08:14] aa : Impossible de trouver le deuxième pour l'instant.
[En attente] : 2024-01-10
[23:08:16] LockBitSupp : Le VPN Access3 est tombé en panne, avez-vous d'autres identifiants ?
[En attente] : 2024-01-11
[12:37:09] aa : J’en ai beaucoup. Je vais vérifier, ça fait longtemps que je l’ai.
[12:57:00] aa : Accès3
[12:57:36] aa : Y a-t-il eu du mouvement dans les négociations et sur les autres réseaux ?
[14:53:13] LockBitSupp : Ils ont proposé pour Access1…
Access1
J'ai décliné, les autres sites restent muets, pourriez-vous me rappeler la liste des autres sites afin que je puisse relancer les annonceurs et leur demander ce qu'il en est de ces réseaux ?
[15:50:43] aa : Accès 2 Accès 4
[15:51:55] aa : Vous ne seriez pas d'accord, par hasard ? Vous dites vous-même que l'annonceur n'a pas correctement interprété les données. De plus, le montant n'est pas si élevé pour un réseau qui n'est pas encore totalement opérationnel.
[15:53:23] aa: Je viens de recevoir un paiement, je t'en apporterais 10 autres comme ça et nous gagnerions plus et je peux aussi t'apporter des réseaux pour les relations publiques si besoin.
[15:58:02] aa : Access4 semble également terminé si je me souviens bien.
[16:03:25] LockBitSupp: Access2, un annonceur semble avoir abandonné, rien ne fonctionne pour lui, essayez encore. Je vais le confier à un autre annonceur.
Access4 n'a toujours pas donné de nouvelles, les appels n'ont rien donné, nous allons attendre encore une semaine. S'ils ne nous contactent toujours pas, nous publierons un article sur le blog, et peut-être qu'ils accourront.
Je ne souhaite pas accepter les conditions d'Access1 ; je vais essayer d'obtenir un meilleur tarif. Je souhaite également effectuer le premier versement afin que nous puissions ensuite nous concentrer sur d'autres cibles et les répartir entre différents annonceurs, qui seront rémunérés au flux.
[23:02:27] LockBitSupp : Accepté, transmis pour traitement,
Il y a également eu un problème de communication, donc 3 réseaux sont en contact. Dès que quelqu'un paiera, nous commencerons à parler d'argent. Pour l'instant, j'essaie d'obtenir un paiement de quelqu'un.
[23:03:18] LockBitSupp : Accès6
[23:07:19] aa : Ce n'est pas mon réseau.
[23:08:26] aa : Il devrait y avoir beaucoup plus de serveurs
[23:09:38] aa : Access6 compte 2 200 serveurs selon LDAP ; il devrait y en avoir davantage, il y avait environ 30 contrôleurs.
[23:13:50] aa : Pourriez-vous m’envoyer la correspondance avec Access1 ? Je suis très inquiet, surtout qu’ils m’ont proposé de l’argent.
[En attente] : 2024-01-19
[15:59:32] LockBitSupp : 2200 appareils, pas des serveurs. Je peux envoyer la correspondance, mais pourquoi en avez-vous besoin ? Vous vous inquiéterez encore plus si vous la voyez. Je peux gérer les échanges pendant des mois, et vous m’écririez tous les jours pour que je vous envoie la correspondance, et vous vous inquiéteriez encore et encore.
[16:01:17] aa : Je vous le dis, je suis inquiet. C'est juste agréable pour moi de regarder, puisque je ne peux de toute façon pas organiser d'accès. Je suis donc curieux de savoir comment se déroulent les négociations.
[16:02:38] aa : J'aimerais quand même voir, je ne vous dérangerai pas tous les jours.
Correspondance d'accès 1
[16:09:51] aa : merci
[En attente] : 2024-01-23
[20:53:57] aa : Bonjour, pouvez-vous me dire si Access6 et Access2 ont été fabriqués ?
[En attente] : 2024-01-24
[14:59:17] LockBitSupp :
Ils ont écrit aujourd'hui sur Access6.
Personne ne peut me donner accès à Access2. Je demande l'autorisation de transférer Access2 à une personne en qui je n'ai pas confiance, car elle pourrait frauder le système.
Le problème vient de Falcon, c'est difficile avec lui.
Il n'y a aucun problème avec les cookies, sans Falcon ce serait plus simple
Voyons voir ce que vous avez d'autre, pour ne pas gaspiller ces ressources.
[En attente] : 2024-01-25
[23:54:16] aa: Bonjour à nouveau, vous pouvez transférer Access2 à votre discrétion, il mourra tôt ou tard lorsque les mots de passe seront mis à jour.
[23:54:50] aa: Access2t
[En attente] : 2024-01-26
[20:43:56] LockBitSupp : Accès2
[23:12:23] aa : Accès7
[23:12:48] aa : Accès7
[23:13:00] aa : Accès7
[23:16:33] aa : Accès7
[23:17:04] aa : Access2 est hors service. Si NTDS est encore disponible, je pourrai probablement le récupérer.
[23:20:25] aa : Des nouvelles des négociations ?
[En attente] : 2024-01-28
[14:41:13] LockBitSupp : Bonjour
1. Le tout premier accès que vous m'avez donné, Access1, a fait l'objet d'un paiement de rançon après un mois de négociations. Étant donné que vous êtes venu me voir initialement pour me le vendre, il ne peut y avoir de pourcentage fixe. Je peux payer comme pour un accès acheté. À quel prix vouliez-vous le vendre ?
2. Comme je l'ai dit, après le premier paiement, nous pourrons passer à une collaboration plus sérieuse. Étant donné que vous êtes maintenant une personne vérifiée, veuillez me fournir votre code TOX afin que je vous ajoute à la liste des personnes vérifiées.
3. L'accès à 4 est en cours de négociations, eau calme
4. L'accès à 6 est en cours de négociations, eau calme
5. Avez-vous réussi à récupérer l'accès à Access2 ?
6. Nous pouvons maintenant aborder plus en détail les conditions d'un emploi permanent si cela vous intéresse, l'augmentation de la charge de travail et les questions financières.
Dans cette partie de la conversation, LockBitSupp et aa négocient les termes de leur partenariat, notamment le pourcentage des rançons qu'aa recevra pour l'accès illicite aux réseaux d'entreprises. LockBitSupp propose une structure de paiement dégressive, commençant à 10 % et augmentant de 1 % par rançon obtenue, jusqu'à un maximum de 20 %, incitant ainsi aa à fournir davantage d'accès pour maximiser ses profits. aa plaide pour un pourcentage fixe et équitable, compte tenu de la valeur ajoutée qu'il apporte en incluant les privilèges d'administrateur de domaine. Il exprime son inquiétude quant aux conditions proposées, les jugeant inéquitables au regard de la qualité des accès qu'il fournit. La conversation se conclut sans accord clair, illustrant la complexité des dynamiques et des négociations inhérentes au modèle du Rançongiciels-as-a-service (RaaS), où les intermédiaires d'accès, les affiliés et les opérateurs doivent s'entendre sur les modalités de paiement et évoluer dans un écosystème criminel à haut risque et à forte rentabilité.
[14:41:13] LockBitSupp : Vous avez dit vouloir 25 %, je pense que c’est un bon début. J’aimerais que vous accordiez un maximum d’accès, de façon constante, et que vous ne laissiez pas l’argent se dépenser après le premier gros versement.
Par conséquent, je propose de procéder ainsi.
nous augmentons progressivement le pourcentage de 10 à 20 pour cent
Accès payant – vous obtenez 10 %
Le prochain accès payant vous permet de bénéficier de 11 % de réduction.
Le prochain accès payant vous permet de bénéficier de 12 % de réduction.
Le prochain accès payant vous permet de bénéficier de 13 % de réduction.
Le prochain accès payant vous permet de bénéficier de 14 % de réduction.
Le prochain accès payant vous permet de bénéficier de 15 % de réduction.
Le prochain accès payant vous permet de bénéficier de 16 % de réduction.
Le prochain accès payant vous permet de bénéficier de 17 % de réduction.
Le prochain accès payant vous permet de bénéficier de 18 % de réduction.
Le prochain accès payant vous permet de bénéficier de 19 % de réduction.
Le prochain accès payant vous permet de bénéficier de 20 % de réduction.
[14:41:13] LockBitSupp : Ainsi, après 10 paiements, vous atteignez le niveau de revenu maximal. De mon côté, je vous garantis le contrôle et l’assurance qu’aucun testeur d’intrusion ne vous escroquera. De votre côté, un effort maximal et une augmentation du volume de prestations sont nécessaires pour maximiser nos profits. Par exemple, au lieu de 5 accès par mois, visez-en 50 ou plus. Vous pouvez également proposer des accès moins rentables. Je travaille avec des annonceurs de différents niveaux, certains plus expérimentés, d’autres moins, afin de satisfaire tout le monde.
7. Sangwing a été remis au travail.
[15:33:59] aa : Bonjour, vendre implique un paiement immédiat. Sauf quand le réseau paie. Convenons d'un pourcentage juste et normal et travaillons à un rythme normal.
[15:37:20] aa : Je donne immédiatement accès aux administrateurs de domaine inclus dans le package, ce qui simplifie grandement le travail de vos collaborateurs. L’accès est donc opérationnel à 100 % (vous connaissez le problème). Un autre contact.
[15:43:54] aa : Concernant Access2, je me suis trompé. Les annonceurs n'avaient pas de NTDS ? Je ne l'ai pas désactivé à cause de l'antivirus pour éviter les alertes, car je ne sais pas comment faire sans alerte avec ce type d'antivirus. La copie fantôme, si elle est effectuée, déclenchera également une alerte.
[15:44:47] aa: Et je n'en aurai jamais 50, mais j'en aurai 5 garantis qui pourront être tranquillement mis en place et travaillés, avec des droits qui ne mourront pas en 2 jours.
[15:46:12] aa : J'ai toujours travaillé discrètement mais sur des cibles plus ou moins bonnes et des pays de premier plan, disons plus précisément.
[16:28:05] aa : Si quoi que ce soit, l'administrateur de domaine sur Access1, là le point d'entrée n'avait aucun droit.
[16:45:23] aa : J'ai l'impression que je vous ai juste donné un accès aléatoire aux journaux, mais c'est loin d'être le cas.
[16:54:50] aa : Contact.
[16:55:31] aa : Veuillez ajouter, car je suis très préoccupé par notre coopération.
[17:58:06] aa:
[18:04:16] aa : Oui, je sais tout, et je sais aussi combien il est difficile de se faire payer, même un petit peu, par un grand réseau. C’est pour ça que je voulais vendre. Bon, j’attendrai alors.
> [18:06:19] LockBitSupp : Acheter n’est pas très intéressant non plus, surtout auprès d’un fournisseur non vérifié, on ne sait jamais combien de mains sont passées le réseau.
[17:58:21] aa : J'ai joint le lien par erreur))
[17:59:07] aa : Vous avez vous-même refusé d'acheter, donc je ne comprends absolument pas votre déclaration maintenant.
[21:14:18] aa: Négocions plus correctement s'il vous plaît, car les conditions que vous proposez sont absolument injustes pour moi et mon travail.
[21:18:57] LockBitSupp : Pourquoi la vente implique-t-elle un paiement immédiat, et non pas un paiement du réseau ? J’écris souvent que je ne suis prêt à payer que si le réseau verse une rançon. Dans le cas contraire, l’affaire se retrouve sur mon blog, et beaucoup l’acceptent car les accès deviennent inutilisables. À ma connaissance, il n’existe pas de normes ou de règles internationales spécifiques concernant le paiement ou l’achat de réseaux ; tout est négocié individuellement. Je vous ai initialement proposé d’exploiter vos réseaux au mieux, et après le premier paiement, nous aborderons tous les aspects financiers et les conditions, car une dizaine de personnes me contactent chaque jour pour me proposer leurs accès illimités. Maintenant que je vous ai vérifié, je suis prêt à collaborer avec vous de manière permanente et à en discuter.
[21:18:57] LockBitSupp : Un pourcentage juste et normal. Je vous ai proposé des conditions ; vous pouvez les accepter, les refuser ou en proposer d’autres. Le nombre d’annonceurs nous permet de maintenir un rythme maximal, tant qu’il y a de la main-d’œuvre disponible.
[21:18:57] LockBitSupp : Le fait que l’accès soit immédiatement fourni avec les droits d’administrateur de domaine est évidemment un avantage, mais comme vous pouvez le constater, de nombreux autres facteurs influent sur le paiement, et les droits d’administrateur de domaine ne sont pas toujours une garantie de succès. Certains accès ont échoué malgré la présence de ces droits, car se connecter à un compte administrateur de domaine est toujours suspect. Dans le cas précis d’Access1, seules mes compétences en négociation ont permis de résoudre le problème, que j’ai personnellement mené pendant un mois. Mais je ne vous en remercie pas : nous travaillons en équipe et chaque rôle est important. Votre aide est précieuse, un testeur d’intrusion expérimenté est précieux, un négociateur expérimenté est précieux, et moi, en tant que garant, je suis précieux. Il est difficile d’imaginer comment tout cela peut être évalué ; on ne peut pas se permettre de faire porter le chapeau à qui que ce soit, chacun est important et indispensable. En résumé, je peux vous fournir une interface et vous pouvez gérer vous-même les accès et empocher l’intégralité de la rançon sans la partager avec personne. Je ne suis pas contre cette option, mais vous avez vous-même indiqué ne pas pouvoir travailler seul et avoir besoin d'une équipe expérimentée. J'ai donc constitué une telle équipe et, grâce à cela, nous avons obtenu des résultats positifs. Vous pouvez également accorder des accès sans administrateur de domaine ; mes testeurs d'intrusion peuvent d'ailleurs s'en charger, comme vous le faites, si vous le souhaitez. Votre aide, aussi modeste soit-elle, augmente les chances d'être rémunéré, mais peut aussi parfois s'avérer contre-productive. En effet, dans les entreprises sérieuses, les mouvements sur les comptes administrateur sont généralement très strictement contrôlés, et bien sûr, en cas d'erreur, personne ne s'en aperçoit.
[21:18:57] LockBitSupp: À propos d'Access2, tout est très difficile, je suis sûr que personne ne pourrait rien prendre là-bas à cause d'un antivirus malveillant.
J'aimerais avoir 50 accès de votre part, vous pouvez m'en donner autant que vous le souhaitez. Ma mission, en tant que chef d'un groupe criminel organisé, est de surcharger de travail tous ceux qui sont disponibles afin de maximiser les profits ; c'est pourquoi j'accepte des accès de toutes sources.
Je ne sais pas d'où vous obtenez ces accès, des journaux ou en les exploitant astucieusement, c'est votre affaire et je suis prêt à vous payer pour cela, nous discutons maintenant de ce sujet.
[21:18:57] LockBitSupp : J’ai de nouveau refusé non seulement l’achat, mais aussi toute discussion sur un pourcentage. J’ai précisé qu’après le premier versement, nous aborderions tous les aspects financiers et une collaboration étroite, si nous parvenions à un accord. Généralement, le partage des gains est source de conflits. Vous auriez pu ne rien me donner si nous n’avions pas obtenu d’accord clair, mais vous avez décidé de me céder l’accès car vous saviez que cela pouvait ne jamais aboutir et que vous ne gagneriez rien, comme ce fut le cas pour beaucoup de vos autres accès. Nous discutons actuellement des conditions les plus claires et transparentes qui conviennent à chacun. Dès que nous serons d’accord, nous avancerons.
[21:18:57] LockBitSupp : Où voyez-vous l’injustice ? Quelle injustice ?
Au fait, que dire d'Access1 ? Comment les avons-nous piratés ? J'ai besoin d'informations. Pouvez-vous me les divulguer ou vaut-il mieux ne rien dire ? Si c'est préférable de ne rien dire, il faudra trouver une explication crédible.
[21:21:15] aa : L'injustice est de ne pas me donner mon pourcentage pour le travail sur Access1.
[21:22:14] LockBitSupp: Je vous ai ajouté à un autre Tox, nous n'avons pas discuté d'un pourcentage avec vous, si je vous avais promis un certain pourcentage et que je ne vous l'avais pas donné, cela aurait été une injustice.
Après cela, nous avons contacté LockBit par un autre intermédiaire et avons longuement argumenté sans parvenir à un accord. Je pense qu'il est inutile de transmettre le problème ici ; je l'ai déjà envoyé à l'administrateur, mais LockBit se contente de répéter la même chose et me demande même de rédiger une demande d'arbitrage.
Surveillance des forums du Dark Web avec Flare
La fusée Gestion de l'exposition aux menaces (TEM) La solution permet aux organisations de détecter, hiérarchiser et atténuer de manière proactive les types d’expositions couramment exploitées par les acteurs de la menace. Notre plateforme analyse automatiquement le Clear & Dark Web et les canaux Telegram illicites 24h/7 et XNUMXj/XNUMX pour découvrir des événements inconnus, hiérarchiser les risques et fournir des informations exploitables que vous pouvez utiliser instantanément pour améliorer la sécurité.
Flare s'intègre à votre programme de sécurité en 30 minutes et remplace souvent plusieurs outils SaaS et open source. Apprenez-en davantage en vous inscrivant à notre essai gratuit.
