Comment des investigations françaises ont permis d’aboutir au déchiffrement de LockyGoga

Comment des investigations françaises ont permis d’aboutir au déchiffrement de LockyGoga


Mieux vaut tard que jamais. Un an après un coup de filet international contre 13 hackers de LockerGoga et Megacortex arrêtés en Suisse en Ukraine, le parquet de Zurich et la police cantonale de cette ville viennent d’annoncer avoir récupéré de nombreuses clés privées de ces deux rançongiciels.

 Comme l’explique la justice suisse, après l’arrestation d’un suspect en Suisse, un Ukrainien poursuivi pour extorsion de fonds, blanchiment et piratage informatique, les cyber-enquêteurs de la police cantonale de Zurich ont en effet pu fouiner dans les terminaux numériques saisis à cette occasion et y dénicher des clés privées.


Déchiffreur publié par Bitdefender

Dans la foulée, l’entreprise de cybersécurité Bitdefender a publié un nouvel outil de déchiffrement de LockerGoga. Certes, ce déchiffreur présente un intérêt relatif, trois ans après les premières attaques de ce rançongiciel aux activités criminelles stoppées en octobre 2021.



Mais plus globalement, ce dénouement montre que l’action judiciaire internationale peut payer contre les gangs de rançongiciels. Ce dossier judiciaire, qui a également mobilisé les polices des Etats-Unis, de Norvège, des Pays-Bas et d’Ukraine, doit d’ailleurs beaucoup au travail d’enquêteurs français. Ces derniers avaient en effet retrouvé la trace du suspect arrêté en Suisse.

Leur action a été « décisive », rappelle à Zdnet.fr Vincent Plumas, le porte-parole du parquet de Paris. « Ce dossier illustre l’importance de la coopération internationale dans la lutte contre la cybercriminalité et l’engagement des pouvoirs publics face à des délinquants qui n’hésitent pas à s’attaquer à des cibles d’importance stratégique », ajoute-t-il.



Confiées par le parquet de Paris à l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC) et à la DGSI, l’enquête judiciaire française avait été lancée à la suite de la cyberattaque ayant visé Altran. Le géant du conseil en ingénierie et en innovation, racheté depuis par l’entreprise de services numériques Capgemini, avait été victime d’une intrusion en janvier 2019.


Saisie d’un serveur de commande et de contrôle

Selon le récit fait par Le Parisien lors de l’arrestation des suspects, les enquêteurs français avaient réussi à identifier un serveur de commande et de contrôle situé en France. Ce qui leur avait permis dans un second temps de cartographier l’infrastructure criminelle, basée notamment sur l’utilisation du cheval de Troie modulaire Trickbot, également utilisé par le gang Conti, et des outils de test d’intrusion Cobalt Strike.


Les enquêteurs avaient enfin suivi la piste des paiements de rançons pour remonter la piste des hackers malveillants. Dans un bel effort de transparence, Altran avait détaillé publiquement son retour d’expérience de cette crise. Mais l’entreprise n’avait pas précisé si elle avait payé une rançon. A ce sujet, L’Express avait mentionné un paiement de 300 bitcoins (alors un million d’euros environ) qui n’aurait toutefois pas permis de récupérer une clé de déchiffrement.


Les 13 personnes arrêtées en octobre 2021 sont accusées d’avoir lancé 1800 cyberattaques contre des particuliers ou des organisations de 71 pays, pour un préjudice de plusieurs centaines de millions d’euros, selon la justice suisse. Si le suspect arrêté en Suisse, également visé par une information judiciaire française ouverte en février 2022 est en détention provisoire, on ignore toutefois la situation des douze autres personnes arrêtées en Ukraine.






Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.