Un homme soupçonné d’être un membre-clé de Ragnar Locker – un gang spécialisé dans les rançongiciels qui est apparu en 2019 – a été mis en examen vendredi 20 octobre du chef d’association de malfaiteurs et placé en détention provisoire, a annoncé le parquet de Paris dans un communiqué. D’origine russe mais résidant en République tchèque, il a été interpellé lundi à Roissy, puis présenté à un juge vendredi à l’issue de sa garde à vue. Son domicile tchèque avait été perquisitionné, plus tôt dans la semaine. En France, une enquête avait été ouverte sur ce groupe en septembre 2020 et confiée au centre de lutte contre les criminalités numériques (C3N) de la gendarmerie nationale.
Il est rare que les autorités parviennent à attraper les acteurs soupçonnés d’être des « opérateurs ». Ce nom est donné aux membres du noyau dur de ces groupes, qui pratiquent généralement une division des tâches et louent leur rançongiciel et leur infrastructure à d’autres pirates appelés « affiliés » et spécialisés dans l’intrusion dans des réseaux informatiques. Ce sont généralement ces derniers qui mènent les attaques puis partagent le montant des rançons obtenues avec les opérateurs.
Les serveurs saisis en Europe
Vendredi, une vaste opération internationale coordonnée par Europol et visant Ragnar Locker a été dévoilée. Elle a également permis la saisie d’au moins neuf serveurs en Suède, en Allemagne et aux Pays-Bas. Une partie servait à l’infrastructure technique du groupe, alors que d’autres hébergeaient ce que l’on appelle le « mur de la honte », une vitrine accessible via le réseau TOR et utilisée pour annoncer publiquement les nouvelles victimes du groupe, de façon à mettre la pression sur les entreprises pour les pousser à payer. Egalement utilisé pour diffuser les données volées aux victimes lorsque celles-ci ne se plient pas à la demande de rançon, ce site vitrine a depuis été remplacé par une notice des autorités annonçant le coup de filet contre le groupe.
Cinq autres personnes ont été entendues dans le cadre de l’enquête au cours de la semaine dans plusieurs pays, dont la Lettonie et l’Espagne, et des cryptomonnaies ont également été saisies au cours des perquisitions. Une partie des suspects auditionnés ont un profil de blanchisseurs, selon une source proche du dossier. En 2021 puis en 2022, l’enquête avait déjà mené à des arrestations en Ukraine et au Canada. Dans ce dernier pays, les autorités épaulées par les gendarmes français avaient arrêté un homme d’origine russe soupçonné d’être un important affilié du groupe.
Ragnar Locker, s’il n’a pas l’ampleur d’autres gangs spécialisés dans le rançongiciel comme Lockbit, s’est spécialisé dès son apparition dans la « chasse au gros », c’est-à-dire les attaques contre des grandes entreprises susceptibles de payer des rançons très élevées – de 5 à 70 millions de dollars étaient demandés, selon les autorités. Ce groupe fonctionnait en cercle plus fermé que certains de ses concurrents, sélectionnant avec soin les affiliés avec lesquels il opérait – moins d’une dizaine, selon une estimation d’une source proche du dossier. On dénombre aujourd’hui 168 victimes dans le monde, dont 10 en France, y compris le transporteur maritime CMA-CGM. Le nombre exact d’attaques réussies par ces groupes est toutefois difficile à établir pour les autorités.