Un nom et un visage. Les autorités américaines, australiennes et britanniques ont révélé, mardi 7 mai, l’identité du principal suspect dans l’enquête sur LockBit, un groupe cybercriminel notoire et l’un des acteurs les plus connus dans la sphère des rançongiciels. Selon l’acte d’inculpation américain rendu public, il s’agit de Dmitry Khoroshev, un ressortissant russe de 31 ans.
Ce dernier est soupçonné d’être « LockBitSupp », administrateur du groupe ainsi que le ou l’un des développeurs de la souche de rançongiciel devenue, en quelques années, l’une des plus virulentes dans le monde. Selon la justice américaine, M. Khoroshev est considéré comme la tête pensante de LockBit depuis la naissance du gang en septembre 2019. Depuis cette date, il aurait empoché près de 100 millions de dollars de rançons. Les autorités britanniques, australiennes et américaines ont par ailleurs annoncé une série de sanctions visant Dmitry Khoroshev, dont un gel de ses avoirs personnels et une interdiction de voyager sur le territoire de ces trois pays.
Au fil de l’enquête, les autorités d’une dizaine de pays, dont la France, ont pu obtenir une photographie plus précise des activités de LockBit. Environ 7 000 attaques ont été menées à l’aide de son infrastructure entre juin 2022 et février 2024, selon le communiqué d’Europol publié mardi. La France fait partie, avec les Etats-Unis, le Royaume-Uni, la Chine et l’Allemagne, des cinq pays les plus visés. « Ces attaques ont ciblé plus de cent hôpitaux et entreprises du secteur de la santé », détaille Europol.
C’est notamment le cas, en France, de l’hôpital de Corbeil-Essonnes (Essonne), visé par un affilié de LockBit en septembre 2022 et dont les activités avaient été très fortement perturbées. En avril, c’est l’hôpital de Cannes (Alpes-Maritimes) qui avait vu certaines de ses données publiées en ligne après avoir refusé de payer une rançon.
Division des tâches
Initialement connu sous le nom d’ABCD, LockBit est le nom donné au logiciel déployé sur les ordinateurs de réseaux d’entreprises ou de collectivités locales pour en paralyser le fonctionnement. Une note est alors laissée, invitant la victime à venir négocier sur un espace en ligne dédié, et une rançon est généralement demandée en échange de la clé de déchiffrement des fichiers.
Les gangs cybercriminels spécialisés dans le rançongiciel ne sont pas des groupes uniformes. On y trouve en général d’abord les « opérateurs », un noyau dur de pirates chargés de développer le logiciel malveillant, de le maintenir à jour, mais aussi de construire une infrastructure technique : un espace de négociation pour les victimes, un portail pour les complices et, parfois, des outils de blanchiment des cryptoactifs obtenus dans le cadre des attaques.
Il vous reste 49.85% de cet article à lire. La suite est réservée aux abonnés.