Au début du mois d’octobre, l’agence européenne de police Europol ne s’était pas montrée très précise. Dans le cadre de Cronos, cette opération policière visant les criminels de LockBit, elle signalait l’arrestation en août, à la demande de la justice française, d’un homme suspecté d’être l’un des développeurs du rançongiciel.
Selon toute vraisemblance, il s’agissait en fait d’un certain Rostislav Panev, arrêté à son domicile à Haïfa en Israël le 18 août 2024, selon le média local Ynet. Ce dernier est accusé d’avoir été l’un des développeurs du célèbre rançongiciel. Un temps la franchise criminelle numéro un du secteur, le gang tente depuis ses déboires judiciaires de faire illusion, par exemple en publiant des attaques fictives sur son blog pour donner le change.
Apparu en septembre 2019, LockBit a toutefois fait bien des dégâts. Il aurait visé plus de 2500 victimes et obtenu plus de 500 millions de dollars de rançons, selon le décompte actualisé de la justice américaine. Des rançons qui vont de quelques milliers de dollars à plusieurs millions, comme cette entreprise du Kentucky passée à la caisse en janvier 2023.
Perquisition fructueuse
Âgé de 51 ans, Rostislav Panev fait désormais face à une extradition vers les Etats-Unis, qui ont également demandé son interpellation. L’arrestation en août du quinquagénaire, qui possède à la fois la nationalité russe et israélienne, aurait permis de faire main basse sur des preuves majeures, signale la justice américaine.
Les forces de l’ordre auraient en effet découvert sur l’ordinateur de Rostislav Panev des identifiants d’administration d’un référentiel en ligne Git hébergé sur le dark web stockant plusieurs codes sources du rançongiciel et de sa fonction d’exfiltration StealBit, permettant à un affilié d’accélérer ou de ralentir le flux de données. Cela permettait, précise l’accusation, de permettre aux affiliés du programme malveillant “de générer des versions personnalisées du malware”.
De même, les policiers ont découvert des notes pour l’exécution d’une “attaque de masque”. Le “Mask Attack”, en anglais, est une technique pour affiner l’attaque par force brute d’un mot de passe, en réduisant le nombre de combinaisons possibles – par exemple en stipulant que les deux derniers caractères doivent être seulement des chiffres.
Les enquêteurs affirment aussi avoir réussi à identifier des messages entre le développeur et Dmitri Khoroshev, accusé d’être “LockBitSupp”, l’administrateur principal du rançongiciel. Les deux hommes auraient échangé à propos de travaux à mener sur le programme malveillant.
Paye d’environ 10 000 dollars par mois
Enfin, des flux de crypto-monnaies, l’équivalent de 230 000 dollars (à peu près autant d’euros), auraient transité de l’administrateur de LockBit à son développeur, de juin 2022 à février 2024. Ce qui ressemble à une paye d’environ 10 000 dollars par mois.
Rostislav Panev a admis devant des policiers israéliens avoir planché sur la programmation de la désactivation de l’antivirus Windows Defender. Il aurait également travaillé sur le déploiement sur l’annuaire Active directory et l’impression du texte de la rançon sur toutes les imprimantes d’un réseau.
Le quinquagénaire a affirmé ne pas avoir compris au départ que ces activités relevaient de la cybercriminalité. Avant ensuite de fermer les yeux sur la réalité de son travail et d’encaisser sa juteuse paye.
Sept personnes suspectées de faire partie du gang font au total l’objet d’une inculpation par la justice américaine. Si deux d’entre elles ont été arrêtées, les cinq sont toujours en fuite. Des fuyards dont la tête est mise à prix: la justice américaine offre désormais jusqu’à dix millions de dollars pour toute information pouvant mener à l’arrestation des patrons du gang.