Près de 2341 victimes dont 65 françaises, des communes, comme celle d’Alfortville, en région parisienne, des pharmacies, un mandataire judiciaire, des cabinets d’avocats, un hôpital ou encore un établissement public chargé du traitement de l’eau. Au début de l’année 2020, le groupe de rançongiciel AKO est particulièrement actif.
Mais cinq ans plus tard, ces dévastateurs piratages ont valu à Yauhen Horbach, un Biélorusse âgé de 33 ans, des poursuites judiciaires pour accès et maintien frauduleux dans un système de traitement automatisé de données, extorsion, et blanchiment. Arrêté en août 2022 en Géorgie, il a été extradé vers la France en mai 2023, d’où il attendait depuis son procès en détention à Fleury-Merogis.
Cette audience devant les magistrats de la 13e chambre correctionnelle du tribunal judiciaire de Paris s’est finalement déroulée ce lundi 28 avril. Après que le ministère public ait requis sept ans de prison et 375 000 euros d’amende, les juges français ont finalement déclaré le prévenu coupable.
Ils l’ont condamné à une peine de cinq ans de prison, dont un an avec sursis, et une amende de 100 000 euros. L’avocat du prévenu, Harold Bataille, avait plaidé la relaxe.
Compte test
Lors des débats, le prévenu avait contesté toute implication, expliquant avoir été victime d’une usurpation d’identité – il a produit à l’appui de cette thèse un document biélorusse suggérant qu’il aurait lui même été victime d’un piratage. Le trentenaire signalait également avoir simplement vendu des serveurs, sans vraiment se préoccuper des usages qu’ils en étaient faits.
Une affaire judiciaire instructive sur les méthodes de ce genre de groupe criminel. Tout avait commencé en février 2020 avec le piratage d’une entreprise du Morbihan, Coriolis Composite. Les investigations des gendarmes de la section de recherches de Rennes avaient permis d’identifier l’origine de l’intrusion informatique.
Les hackers étaient en fait passés par un port RDP (Remote Desktop Protocol) en utilisant un compte « test ». Il avait été « oublié par des services informatiques de la société », signalait le juge d’instruction en charge de l’affaire dans son ordonnance de renvoi, consultée par ZDnet.fr.
Un passage par le protocole RDP caractéristique de ces cybercriminels. Leurs intrusions, centrées autour de ce type de porte d’entrée, leur permettaient ensuite de déployer le rançongiciel AKO. Une dénomination qui va ensuite être troquée pour « Ranzy ». Les cybercriminels sont également suspectés d’avoir utilisé les programmes malveillants Dharma et Roger.
« Phase d’accélération »
« Au début, ils ont récupéré des listes de machines vulnérables, pour gagner du temps, résumait Audrey Gerbaud, la magistrate chargée de porter l’accusation. Ensuite, ils vont louer des serveurs et héberger eux-mêmes des outils pour scanner » des ports ouverts. « Cela demande des moyens, observait-elle. Pour passer à ce stade là, c’est qu’on est en phase d’accélération. »
L’Anssi alerte depuis de nombreuses années sur les risques liés à RDP. Un protocole « très largement (mal) utilisé pour l’administration à distance de systèmes Windows », avertissait déjà en 2012 le cyber-pompier français. Il permet de se connecter à distance à une machine, et par son intermédiaire au réseau de son organisation.
Dans un rapport de février 2020, l’Anssi soulignait qu’une majorité d’attaques par rançongiciel passaient par ce vecteur. « L’usage d’accès RDP compromis s’explique par la vente régulière de ce type d’accès sur les marchés noirs à des prix parfois dérisoires (quelques dizaines de dollars) », relevait l’agence.
Mine d’or
Grâce à une adresse IP, les enquêteurs avaient ensuite identifié un serveur suspect hébergé chez le nordiste OVH. Sur cette instance, « JohnSmith », « Boba » et « Svetka » se partageaient plusieurs outils pour masquer leurs traces et pour rechercher des ports RDP ouverts, et forcer ensuite le passage grâce à des attaques par force brute.
« JohnSmith » finira par être identifié: il s’agit pour la justice du Biélorusse condamné. Pour les deux autres cybercriminels, c’est plus flou. « Boba » serait ainsi l’un de ses proches, tandis que « Svetka » ferait peut-être référence à une femme.
Quoiqu’il en soit, ce serveur saisi chez OVH est devenu synonyme de mine d’or pour la justice française. Sa saisie a permis par exemple de mettre la main sur environ 12 000 messages partagés via la messagerie Jabber.
Ces messages « montraient leurs difficultés à obtenir les rançons, puis leur étude du système informatique de la victime afin d’adapter le montant de la rançon », observe le magistrat instructeur dans sa synthèse de l’enquête. De fil en aiguille, les enquêteurs arriveront ensuite à une dizaine de serveurs situés eux en Moldavie.
391 rançons
L’un des liens échangés par « JohnSmith » renvoyait même les enquêteurs vers une url en .onion. Il s’agissait, estimaient-ils, du tableau de bord du rançongiciel AKO. Ce dernier recensait les victimes, les rançons demandées et l’adresse d’un des portefeuilles destinataire des cryptos extorquées.
Ce wallet crypto suspect, sur Cryptonator, un service fermé en août 2024 par les justices allemande et américaine, a ainsi vu transiter plus de l’équivalent de 715 000 dollars. Pour les enquêteurs, un magot correspondant au versement de 391 rançons entre décembre 2018 et décembre 2020.
Une estimation a minima des profits des cybercriminels. Dans un message exhumé par les enquêteurs, « JohnSmith », dont le compte Instagram était parsemé de photos de vacances, se vantait d’être proche du million.