Il est Russe et vivait en République tchèque. Selon la justice française, il pourrait bien être l’un des développeurs du gang Ragnar Locker, un groupe de cybercriminels qui avait fait 168 victimes dans le monde dont dix organisations en France. Vendredi dernier, ce développeur a été arrêté à son arrivée à l’aéroport de Roissy et mis en examen pour association de malfaiteurs.
Un genre de prise extrêmement rare. La justice parvient d’habitude au mieux à mettre la main sur des affiliés. Donnant ainsi des airs de succès judiciaire à l’opération internationale lancée en début de semaine, l’aboutissement d’une longue enquête des gendarmes français commencée en septembre 2020. « Cette semaine, les forces de l’ordre et les autorités judiciaires de onze pays ont porté un coup dur à l’une des opérations de ransomware les plus dangereuses de ces dernières années », s’est ainsi félicité Europol.
Gang redoutable
Si Ragnar Locker n’était pas le gang de cybercriminels le plus actif, il était en effet tout de même particulièrement redoutable. A l’œuvre depuis le mois de décembre 2019, ses opérateurs s’étaient distingués par des demandes de rançons exorbitantes, comprises entre 5 et 70 millions d’euros. En France, l’armateur CMA-CGM en avait fait les frais, attaqué en septembre 2020. Le coût de la crise avait été évalué à 50 millions de dollars.
L’enquête des gendarmes cyber sur ce piratage, après la plainte de l’armateur, avait toutefois été fructueuse, avec l’arrestation de deux opérateurs en Ukraine en octobre 2021.
Près de deux ans plus tard, l’enquête a pu aboutir à un nouveau coup de filet. Comme l’explique Europol, plusieurs perquisitions ont ainsi été menées durant la semaine en Tchéquie, Espagne et en Lettonie. Cinq personnes ont également été entendues par les polices de ces différentes nations européennes.
Infrastructure saisie
Si le nombre total d’arrestations et leur localisation reste flou – certainement parce que des investigations sont toujours en cours – , le parquet de Paris a souligné que plusieurs saisies de crypto-actifs ont été réalisées. Enfin, Europol précise que l’infrastructure du rançongiciel a pu être saisie, cachée sur des serveurs aux Pays-Bas, en Allemagne et en Suède. Un dernier pays qui abritait le site Web de fuite de données du groupe.
Selon Europol, le rançongiciel Ragnar Locker ciblait généralement les systèmes Windows, piratés en passant par le service d’accès à distance Remote Desktop Protocol. De manière assez classique, les cybercriminels pratiquaient la double extorsion. Leurs demandes de rançons étaient en effet appuyées sur le chiffrement de données internes mais aussi leur vol et donc leur potentielle diffusion.
Outre la CMA-CGM, le spécialiste de la vente de matériel informatique LDLC avait été victime de Ragnar Locker, tout comme l’avionneur Dassault Falcon Jet ou encore l’éditeur de jeu vidéo Capcom.