Trois ans après le début des attaques en série par rançongiciels, ces outils malveillants utilisés par les pirates pour paralyser des réseaux informatiques et demander une rançon, les opérations policières se multiplient. Cette fois, c’est la France qui est parvenue à mettre la main sur deux suspects au profil convoité. Un couple de citoyens russes résidant à Saint-Pétersbourg a, en effet, été arrêté à l’aéroport de Milan cet été, dans le cadre d’un mandat d’arrêt européen lancé par les autorités françaises, a appris Le Monde de sources concordantes.
Les deux suspects, un homme et une femme d’une trentaine d’années, sont soupçonnés de travailler pour le compte du groupe de rançongiciel Phobos. Ils ont été présentés à un juge d’instruction à Paris et mis en examen le 27 octobre des chefs d’accès, de maintien frauduleux, d’entrave et de modification frauduleuse dans un système de traitement automatisé de données, d’extorsion en bande organisée, de blanchiment aggravé en bande organisée et d’association de malfaiteurs. Ils ont tous les deux été placés en détention provisoire.
La justice les soupçonne de constituer ce que l’on appelle des « affiliés » du groupe Phobos, c’est-à-dire des pirates recrutés sur certains forums de discussion, qui louent le rançongiciel, pénètrent eux-mêmes les réseaux de leurs victimes et partagent ensuite la rançon avec les développeurs du virus. S’il est toujours difficile de retrouver la trace des auteurs de ce type d’opération, ici les enquêteurs sont d’abord parvenus, dans le courant de l’année, à rattacher plusieurs attaques commises sur le territoire national à deux acteurs aux méthodes très proches. Puis, grâce à la coopération avec d’autres services d’enquête internationaux, ils sont parvenus à identifier ces deux personnes, émettant alors un mandat d’arrêt européen.
L’analyse des flux de cryptomonnaies a permis de relier le couple à au moins 150 paiements de rançons dans le monde entier, dont une dizaine d’actions menées contre des entités françaises depuis 2020. Parmi leurs victimes dans l’Hexagone, on compterait notamment des collectivités territoriales et des entreprises. L’analyse du matériel électronique saisi permettra de savoir s’ils travaillaient également pour le compte d’autres organisations.
Un groupe discret et durable
Le groupe Phobos, du nom donné par les chercheurs en sécurité informatique à son rançongiciel, a tendance à passer sous les radars. Contrairement aux grands noms de ce secteur cybercriminel, qui tendent aujourd’hui à viser en priorité de grandes entités, sa souche de virus est généralement utilisée pour cibler des petites entreprises et les montants des rançons demandées sont plus réduits, généralement de plusieurs milliers ou dizaines de milliers d’euros, selon nos informations.
Il vous reste 40% de cet article à lire. La suite est réservée aux abonnés.