La bête est blessée mais elle n’est pas morte. Le gang de cybercriminels LockBit, déstabilisé en profondeur au printemps par une action judiciaire internationale, vient de faire une nouvelle victime en France.
A la fin de la semaine dernière, les cybercriminels ont en effet affirmé avoir visé la région Pays-de-la-Loire. Ils demandent le paiement d’une rançon avant le 4 août prochain. On ignore le montant demandé.
🚨 #CyberAttack 🚨
🇫🇷 #France, Région Pays de la Loire
Région Pays de la Loire has been listed as a victim by the LockBit 3.0 ransomware group.
Ransom deadline: 04th Aug 24.
On the Région Pays de la Loire website, it is communicated: « Due to an exceptional technical issue,… pic.twitter.com/VzPyOsMAxA
— HackManac (@H4ckManac) July 19, 2024
Il s’agissait en réalité plus précisément de l’agence de développement économique de la région des Pays-de-la-Loire, Solutions & co. Dans une déclaration, consultée par ZDNET.fr, cette structure a expliqué avoir été victime d’une intrusion informatique le 11 juillet dernier.
Redémarrage en cours
“Immédiatement, les systèmes d’informations ont été mis à l’arrêt et une cellule d’experts (CSIRT, Agence nationale de la sécurité des systèmes d’information (ANSSI), prestataires) s’est mobilisée”, précisait-elle. “Les équipes de Solutions & co sont pleinement impliquées pour analyser et restaurer les données et l’environnement informatique, ajoutait-elle. Un redémarrage progressif est en cours.”
Témoignant visiblement d’un souci – on ignore s’il est lié à l’attaque informatique -, le site de la région Pays-de-la-Loire affiche toujours un message d’erreur. “Suite à un problème technique exceptionnel, certaines informations concernant les dispositifs d’aide sont susceptibles de ne pas être à jour”, est-il signalé.
Après le dépôt d’une plainte à Nantes, le parquet cyber de Paris, qui suit les dossiers de rançongiciel au niveau national, a logiquement repris l’enquête judiciaire sur le piratage informatique. Plus précisément, ce sont les experts de la gendarmerie nationale qui enquêtent sur les attaques attribuées au ransomware LockBit.
Visé par l’opération judiciaire Cronos en février, le gang avait signé un premier retour dans l’Hexagone en mai dernier. L’hôpital de Cannes avait fait les frais de cette attaque informatique. Un come-back entravé par le “name and shame” de la justice américaine.
Tarir les vocations
Cette dernière avait en effet dévoilé quelques jours plus tard l’identité de son suspect numéro un. Il s’agit de Dmitri Yuryevich Khoroshev, accusé d’être l’administrateur et le développeur de LockBit. A défaut de pouvoir l’arrêter – ce dernier vit en Russie, un pays qui n’extrade pas ses ressortissants -, la justice américaine semble déterminée à lui compliquer la vie en ruinant sa réputation.
Cette stratégie vise notamment à décourager les vocations d’affiliation. Ces cybercriminels qui utilisent l’infrastructure informatique pour extorquer leurs victimes sont en effet indispensables aux gangs comme LockBit.
Une activité risquée. Deux affiliés, Mikhail Vasiliev, arrêté avec le concours de la gendarmerie française, et Ruslan Magomedovich Astamirov, viennent tout juste de plaider coupable devant la justice américaine. L’attaque contre Solutions & co semble toutefois suggérer que le gang n’est pas à court de petites mains.