Après des années de vaches maigres, la justice française commence à être récompensée pour ses efforts contre les rançongiciels. Comme le dévoile Le Monde, deux Russes viennent en effet d’être mis en examen à la fin octobre à Paris pour piratage, extorsion, blanchiment et association de malfaiteurs dans une affaire de cybercriminalité, une information confirmée à ZDNET.fr par le parquet de Paris.
Ce couple de trentenaires est suspecté d’être derrière des attaques du rançongiciel Phobos. Les policiers de la brigade de lutte contre la cybercriminalité de la Préfecture de police de Paris, qui enquêtent depuis quatre ans sur ce malware, les soupçonnent d’avoir été des affiliés de la franchise cybercriminelle.
Couple en vacances
Cette double arrestation est intervenue quelques jours après la mise en examen d’un Russe soupçonné d’être l’un des développeurs du gang Ragnar Locker. Et il y a un an, c’est un hacker russo-canadien soupçonné d’être l’un des affiliés de LockBit et derrière 115 attaques informatiques en France qui avait été arrêté au Canada à la demande de la justice française.
Comme le rapportait l’agence de presse russe Tass, les Russes poursuivis dans l’affaire Phobos ont été arrêtés à la fin août en Italie. La dépêche précisait que ce couple de Saint-Pétersbourg avait été interpellé lors de leurs vacances à la suite d’un mandat d’arrêt d’Europol émis à la demande de la France.
Au moins 150 paiements de rançon
Leur avocat avait alors pointé des “considérations politiques” qui prévaleraient sur les “considérations juridiques” dans cette affaire. Pourtant, selon le quotidien du soir, l’analyse des transactions en crypto-actifs aurait permis de relier les deux Russes à au moins 150 paiements de rançons dans le monde. Dont une dizaine en France, reliés à des petites entreprises victimes d’extorsions de quelques milliers à quelques dizaines de milliers d’euros.
Selon le spécialiste de l’analyse des flux sur la blockchain Chainalysis, les rançons extorquées par Phobos s’établissaient en moyenne à 1719 dollars en 2023. Un rançongiciel, précisait l’entreprise, de bas niveau, employé contre des petites cibles et par « des acteurs relativement peu sophistiqués ».
L’entreprise de sécurité informatique Malwarebytes avait pointé dans un article de janvier 2020 les fortes ressemblances du rançongiciel Phobos, découvert en 2019, à Dharma, apparu lui à l’été 2016. Toutefois le premier n’avait pas remplacé le second immédiatement, laissant planer le doute sur la nature exacte des liens entre les deux programmes malveillants.