Les autorits europennes et amricaines annoncent avoir arrt quatre nouveaux suspects lis l’empire du ransomware LockBit. Il s’agit d’un dveloppeur prsum de LockBit la demande de la France, alors qu’il passait ses vacances en dehors de la Russie, et de deux personnes au Royaume-Uni pour avoir soutenu l’activit d’un affili de LockBit. L’Espagne a arrt l’administrateur d’un service d’hbergement toute preuve utilis pour protger l’infrastructure de LockBit. Il s’agit d’une victoire rare pour les forces de l’ordre qui essaient depuis des annes de passer les menottes aux acteurs de la menace affilis au clbre ransomware LockBit.
LockBit est un groupe cybercriminel qui propose des ransomwares en tant que service (RaaS). Le logiciel cr par le groupe (galement appel ransomware) permet aux acteurs malveillants qui sont prts payer pour l’utiliser de mener des attaques selon deux tactiques : non seulement ils chiffrent les donnes de la victime et exigent le paiement d’une ranon, mais ils menacent aussi de les divulguer publiquement si leurs demandes ne sont pas satisfaites.
Le dmantlement mondial du gang de cybercriminels LockBit se poursuit
LockBit fait face un dmantlement mondial depuis dbut 2024, avec 200 portefeuilles de cryptomonnaie gels, 11 000 domaines saisis, 14 000 comptes ferms, l’arrestation et l’inculpation de plusieurs membres du gang de cybercriminels. L’opration s’inscrit dans le cadre d’une collaboration policire internationale sans prcdent mene par Europol, la National Crime Agency (NCA) britannique et le FBI. D’autres arrestations viennent d’tre annonces.
Quatre personnes au total seraient concernes par les nouvelles arrestations. La premire arrestation a t ordonne par la gendarmerie franaise aprs qu’elle a t alerte sur le fait qu’un dveloppeur prsum de LockBit tait parti en vacances dans un territoire ayant conclu un accord d’extradition avec la France. Il s’agirait d’un ressortissant russe et les auteurs de ransomwares apprcient gnralement le fait que les procureurs russes ferment les yeux sur eux.
Toutefois, ils n’attaquent pas des organisations dans leur pays d’origine ou dans des pays allis. Cela signifie qu’il est difficile de mettre les menottes ces escrocs, moins qu’ils ne soient assez fous pour s’aventurer dans un territoire o les autorits russes ne peuvent pas les protger contre des demandes d’extradition comme c’est le cas ici. La loi franaise interdit l’identification de l’individu arrt, et le pays dans lequel le suspect a t dtenu n’a pas t spcifi.
Le suspect arrt serait un dveloppeur prsum du ransomware LockBit. Son arrestation a eu lieu en aot 2024. Le mme mois, la NCA du Royaume-Uni a arrt deux autres personnes lies l’activit de LockBit : l’une d’elles serait associe une socit affilie LockBit, tandis que la seconde a t apprhende en raison de soupons de blanchiment d’argent. L encore, l’identit des suspects apprhends n’a pas t rvle par les forces de l’ordre britanniques.
Les policiers ont nanmoins dclar que l’identit des suspects a t dduite de l’analyse de piles de donnes saisies lors de l’opration de dmantlement du gang en fvrier 2024. Par ailleurs, l’aroport de Madrid, la Guardia Civil espagnole a arrt l’administrateur d’un service d’hbergement utilis pour protger l’infrastructure de LockBit. Comme dans les cas prcdents, l’identit de ce suspect n’a pas non plus t rvle par les autorits espagnoles.
Les suspects dj apprhends ne constituent qu’une goutte dans l’ocan
Les socits proposant un hbergement toute preuve offrent essentiellement les mmes services d’hbergement Internet (serveurs, stockage, etc.) que leurs homologues lgitimes, mais elles ne ragissent pas aux signalements de leurs clients qui enfreignent la loi et provoquent des abus en ligne. Cela permet leurs clients de s’en tirer facilement pour toutes sortes de choses. Ces hbergeurs peuvent galement dplacer leurs serveurs d’un territoire l’autre pour chapper aux juridictions qui sont sur leur dos. Ces agissements compliquent la traque des serveurs et des cybercriminels utilisant ces rseaux.
La collaboration policire visant dmanteler le gang LockBit porte le nom de code Cronos. La saisie des serveurs de LockBit a offert une mine d’information aux policiers. Neuf serveurs importants de l’infrastructure LockBit ont t consults et saisis. Des informations pertinentes permettant de poursuivre les principaux membres et affilis du groupe de ransomware ont t obtenues et sont en cours d’analyse , ont dclar les agents de l’opration Cronos.
Mais ces arrestations ne sont que quatre des trs rares arrestations effectues en relation avec des membres prsums de LockBit, certains, comme ceux qui viennent d’tre annoncs, n’ayant toujours pas t nomms. Par exemple, la demande du gouvernement franais, la police ukrainienne a arrt au dbut de l’anne un pre et son fils souponns d’tre des affilis de LockBit, juste avant le dbut de l’opration Cronos. Les deux hommes n’ont jamais t nomms.
L’annonce la plus importante concerne toutefois le dmasquage d’un autre ressortissant russe, Aleksandr Viktorovich Ryzhenkov, 31 ans, qui, selon les autorits policires, n’est pas seulement un affili au gang de cybercriminels LockBit, mais serait aussi un membre d’Evil Corp, la tristement clbre organisation de cybercriminalit but lucratif qui pourrait galement avoir men des oprations de cyberespionnage pour le compte du gouvernement russe.
Ryzhenkov a utilis le nom d’affili Beverley, a ralis plus de 60 constructions de ransomware LockBit et a cherch extorquer au moins 100 millions de dollars aux victimes sous forme de demandes de ranon. Ryzhenkov a galement t li l’alias mx1r et associ UNC2165 (une volution d’acteurs affilis Evil Corp) , ont dclar les autorits. Aleksandr Viktorovich serait impliqu dans plusieurs infractions cybercriminelles avec de nombreuses victimes.
Des sanctions annonces contre le groupe de cybercriminels Evil Corp
LockBit aurait t cr par un codeur russe nomm Dimitri Khoroshev. Il conserve l’image d’un pirate de l’ombre, utilisant des alias tels que « Putinkrab », « Nerowolfe » et « LockBitsupp ». Mais en ralit, il s’agit d’un criminel, plus pris par la bureaucratie de la gestion de son entreprise que par des activits secrtes. Pour l’essentiel, il octroie des licences pour le ransomware LockBit, ce qui permet des centaines de groupes criminels de mener des oprations de racket.
16 members of Evil Corp, once believed to be the most significant cybercrime threat in the world have been sanctioned in the UK with their links to the Russian state and other ransomware groups, including LockBit, exposed. Sanctions have also been imposed by Australia and the US
— National Crime Agency (NCA) (@NCA_UK) October 1, 2024
En change de l’utilisation de son logiciel, il reoit une part de 20 % des ranons que les acteurs de menace utilisant LockBit collectent auprs de personnes et d’entreprises innocentes dans le monde entier. Pour aider ses affilis russir, il leur fournit une assistance en matire d’hbergement et de stockage, en estimant les demandes de ranon optimales et en blanchissant de la cryptomonnaie. Il propose mme des rductions pour les clients qui achtent beaucoup.
Vis par un acte dinculpation amricain, Dimitri Khoroshev aurait empoch, depuis les premires actions de LockBit en 2019, plus de 100 millions de dollars du fait de ses activits criminelles. LockBitSupp a toujours ni tre la personne identifie par les autorits, tout en reconstruisant petit petit linfrastructure du groupe. LockBit est toujours actif et revendique rgulirement de nouvelles victimes, le groupe est largement souponn de gonfler ses chiffres.
Il est souponn d’agrger son tableau de chasse des victimes dattaques anciennes. Dimitri Khoroshev est accus d’avoir cr et exploit LockBit et d’avoir reu plus de 100 millions de dollars sur les 500 millions de dollars que les affilis ont reus des victimes. Une rcompense pouvant aller jusqu’ 10 millions de dollars a t offerte pour toute information sur Khoroshev. Deux affilis de LockBit ont depuis t inculps et ont plaid coupables aux tats-Unis.
En plus des nouvelles arrestations annonces, les tats-Unis, le Royaume-Uni et l’Australie ont annonc des sanctions contre plusieurs membres d’Evil Corp. Le ministre amricain de la Justice a annonc des poursuites l’encontre d’Aleksandr Ryzhenkov, mais pas pour les attaques LockBit. Il a en effet t inculp pour les attaques du ransomware BitPaymer. Aleksandr Ryzhenkov est l’un des 16 membres prsums d’Evil Corp qui ont t sanctionns par les trois pays.
Les sanctions visent galement Maksim Yakubets, qui serait le chef du groupe Evil Corp et dont la tte est mise prix pour 5 millions de dollars. Les autorits affirment qu’Aleksandr Ryzhenkov est le bras droit de Maksim Yakubets. Les oprations de LockBit auraient touch plus de 2 500 entits dans plus de 120 pays.
LockBit est toujours actif malgr l’ampleur de l’opration policire Cronos
Malgr les mesures prises par les forces de l’ordre, LockBit n’a apparemment pas cess de mener des attaques, crant immdiatement de nouveaux sites de divulgation de donnes et continuant cibler des organisations. En mai 2024, LockBit est redevenu l’opration de ransomware la plus active, bien que certains experts se soient demand s’il s’agissait d’une relle augmentation des attaques ou d’un cran de fume dont l’objectif tait de dissimuler l’tat rel de l’entreprise criminelle. En effet, le nombre d’attaques revendiques par LockBit au cours des mois de juin, juillet et aot a considrablement diminu.
En juin, les cybercriminels ont annonc avoir pirat la Rserve fdrale amricaine, mais ont divulgu des donnes provenant d’une socit de services financiers relativement petite. Il semble que cela ait t leur dernire grande annonce. Les sites Web de LockBit prcdemment saisis par les forces de l’ordre ont t utiliss pour annoncer les nouvelles arrestations, inculpations et perturbations de l’infrastructure, dmontrant que LockBit n’a plus le contrle.
L’un des messages publis mardi par la NCA sur le site Web de LockBit, intitul The demise of LockBit since February 2024 , rvle que les actions des forces de l’ordre contre LockBit ont t couronnes de succs et que les escrocs du cyberespace ont t considrablement touchs.
Par ailleurs, les autorits expliquent aussi qu’aprs avoir pass des mois passer au peigne fin le code source de LockBit, elles ont trouv des preuves qui suggrent que LockBit conservait non seulement les informations des victimes mme aprs le paiement des ranons, mais galement que les outils fournis aux affilis taient dvelopps de manire ce que les donnes ne soient jamais supprimes. Il est probable que mme les affilis n’taient pas au courant.
Les outils taient conus pour que les donnes soient conserves mme si l’affili pensait les effacer. Une fois pay, l’affili devait normalement cliquer sur un bouton qui semblait effacer toutes les donnes de la victime dont l’escroc s’tait empar et les publier sur le site de LockBit, mais ce n’tait pas le cas. Seul Dmitry Khoroshev avait la possibilit de supprimer rellement les donnes et l’affili ne pouvait jamais savoir si les donnes avaient effectivement t effaces.
Les autorits ont dclar que LockBit n’avait plus effac les donnes depuis 2022. Cette dcouverte renforce l’ide que le fait de payer les auteurs de ransomwares ne garantit pas que les donnes voles au cours de l’attaque seront automatiquement protges contre ceux qui chercheraient les utiliser mauvais escient.
Sources : Europol, ministre amricain de la Justice, communiqu des autorits britanniques, UK National Crime Agency (NCA)
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous de l’opration policire visant dmanteler LockBit et les rsultats obtenus jusque-l ?
L’opration mondiale de dmantlement de LockBit peut-il permettre de mettre ce ransomware ?
Voir aussi