Les autorités européennes et américaines annoncent avoir arrêté quatre nouveaux suspects liés à l'empire du ransomware LockBit. Il s'agit d'un développeur présumé de LockBit à la demande de la France, alors qu'il passait ses vacances en dehors de la Russie, et de deux personnes au Royaume-Uni pour avoir soutenu l'activité d'un affilié de LockBit. L'Espagne a arrêté l'administrateur d'un service d'hébergement à toute épreuve utilisé pour protéger l'infrastructure de LockBit. Il s'agit d'une victoire rare pour les forces de l'ordre qui essaient depuis des années de passer les menottes aux acteurs de la menace affiliés au célèbre ransomware LockBit.LockBit est un groupe cybercriminel qui propose des ransomwares en tant que service (RaaS). Le logiciel créé par le groupe (également appelé ransomware) permet aux acteurs malveillants qui sont prêts à payer pour l'utiliser de mener des attaques selon deux tactiques : non seulement ils chiffrent les données de la victime et exigent le paiement d'une rançon, mais ils menacent aussi de les divulguer publiquement si leurs demandes ne sont pas satisfaites.
Le démantèlement mondial du gang de cybercriminels LockBit se poursuit
LockBit fait face à un démantèlement mondial depuis début 2024, avec 200 portefeuilles de cryptomonnaie gelés, 11 000 domaines saisis, 14 000 comptes fermés, l'arrestation et l'inculpation de plusieurs membres du gang de cybercriminels. L'opération s'inscrit dans le cadre d'une collaboration policière internationale sans précédent menée par Europol, la National Crime Agency (NCA) britannique et le FBI. D'autres arrestations viennent d'être annoncées.
Quatre personnes au total seraient concernées par les nouvelles arrestations. La première arrestation a été ordonnée par la gendarmerie française après qu'elle a été alertée sur le fait qu'un développeur présumé de LockBit était parti en vacances dans un territoire ayant conclu un accord d'extradition avec la France. Il s'agirait d'un ressortissant russe et les auteurs de ransomwares apprécient généralement le fait que les procureurs russes ferment les yeux sur eux.
Toutefois, ils n'attaquent pas des organisations dans leur pays d'origine ou dans des pays alliés. Cela signifie qu'il est difficile de mettre les menottes à ces escrocs, à moins qu'ils ne soient assez fous pour s'aventurer dans un territoire où les autorités russes ne peuvent pas les protéger contre des demandes d'extradition comme c'est le cas ici. La loi française interdit l'identification de l'individu arrêté, et le pays dans lequel le suspect a été détenu n'a pas été spécifié.
Le suspect arrêté serait un développeur présumé du ransomware LockBit. Son arrestation a eu lieu en août 2024. Le même mois, la NCA du Royaume-Uni a arrêté deux autres personnes liées à l'activité de LockBit : l'une d'elles serait associée à une société affiliée à LockBit, tandis que la seconde a été appréhendée en raison de soupçons de blanchiment d'argent. Là encore, l'identité des suspects appréhendés n'a pas été révélée par les forces de l'ordre britanniques.
Les policiers ont néanmoins déclaré que l'identité des suspects a été déduite de l'analyse de piles de données saisies lors de l'opération de démantèlement du gang en février 2024. Par ailleurs, à l'aéroport de Madrid, la Guardia Civil espagnole a arrêté l'administrateur d'un service d'hébergement utilisé pour protéger l'infrastructure de LockBit. Comme dans les cas précédents, l'identité de ce suspect n'a pas non plus été révélée par les autorités espagnoles.
Les suspects déjà appréhendés ne constituent qu'une goutte dans l'océan
Les sociétés proposant « un hébergement à toute épreuve » offrent essentiellement les mêmes services d'hébergement Internet (serveurs, stockage, etc.) que leurs homologues légitimes, mais elles ne réagissent pas aux signalements de leurs clients qui enfreignent la loi et provoquent des abus en ligne. Cela permet à leurs clients de s'en tirer facilement pour toutes sortes de choses. Ces hébergeurs peuvent également déplacer leurs serveurs d'un territoire à l'autre pour échapper aux juridictions qui sont sur leur dos. Ces agissements compliquent la traque des serveurs et des cybercriminels utilisant ces réseaux.
La collaboration policière visant à démanteler le gang LockBit porte le nom de code Cronos. La saisie des serveurs de LockBit a offert une mine d'information aux policiers. « Neuf serveurs importants de l'infrastructure LockBit ont été consultés et saisis. Des informations pertinentes permettant de poursuivre les principaux membres et affiliés du groupe de ransomware ont été obtenues et sont en cours d'analyse », ont déclaré les agents de l'opération Cronos.
Mais ces arrestations ne sont que quatre des très rares arrestations effectuées en relation avec des membres présumés de LockBit, certains, comme ceux qui viennent d'être annoncés, n'ayant toujours pas été nommés. Par exemple, à la demande du gouvernement français, la police ukrainienne a arrêté au début de l'année un père et son fils soupçonnés d'être des affiliés de LockBit, juste avant le début de l'opération Cronos. Les deux hommes n'ont jamais été nommés.
L'annonce la plus importante concerne toutefois le démasquage d'un autre ressortissant russe, Aleksandr Viktorovich Ryzhenkov, 31 ans, qui, selon les autorités policières, n'est pas seulement un affilié au gang de cybercriminels LockBit, mais serait aussi un membre d'Evil Corp, la tristement célèbre organisation de cybercriminalité à but lucratif qui pourrait également avoir mené des opérations de cyberespionnage pour le compte du gouvernement russe.
« Ryzhenkov a utilisé le nom d'affilié Beverley, a réalisé plus de 60 constructions de ransomware LockBit et a cherché à extorquer au moins 100 millions de dollars aux victimes sous forme de demandes de rançon. Ryzhenkov a également été lié à l'alias mx1r et associé à UNC2165 (une évolution d'acteurs affiliés à Evil Corp) », ont déclaré les autorités. Aleksandr Viktorovich serait impliqué dans plusieurs infractions cybercriminelles avec de nombreuses victimes.
Des sanctions annoncées contre le groupe de cybercriminels Evil Corp
LockBit aurait été créé par un codeur russe nommé Dimitri Khoroshev. Il conserve l'image d'un pirate de l'ombre, utilisant des alias tels que "Putinkrab", "Nerowolfe" et "LockBitsupp". Mais en réalité, il s'agit d'un criminel, plus pris par la bureaucratie de la gestion de son entreprise que par des activités secrètes. Pour l'essentiel, il octroie des licences pour le ransomware LockBit, ce qui permet à des centaines de groupes criminels de mener des opérations de racket.
16 members of Evil Corp, once believed to be the most significant cybercrime threat in the world have been sanctioned in the UK with their links to the Russian state and other ransomware groups, including LockBit, exposed. Sanctions have also been imposed by Australia and the US
— National Crime Agency (NCA) (@NCA_UK) October 1, 2024
En échange de l'utilisation de son logiciel, il reçoit une part de 20 % des rançons que les acteurs de menace utilisant LockBit collectent auprès de personnes et d'entreprises innocentes dans le monde entier. Pour aider ses affiliés à réussir, il leur fournit une assistance en matière d'hébergement et de stockage, en estimant les demandes de rançon optimales et en blanchissant de la cryptomonnaie. Il propose même des réductions pour les clients qui achètent beaucoup.
Visé par un acte d’inculpation américain, Dimitri Khoroshev aurait empoché, depuis les premières actions de LockBit en 2019, plus de 100 millions de dollars du fait de ses activités criminelles. LockBitSupp a toujours nié être la personne identifiée par les autorités, tout en reconstruisant petit à petit l’infrastructure du groupe. LockBit est toujours actif et revendique régulièrement de nouvelles victimes, le groupe est largement soupçonné de gonfler ses chiffres.
Il est soupçonné d'agréger à son tableau de chasse des victimes d’attaques anciennes. Dimitri Khoroshev est accusé d'avoir créé et exploité LockBit et d'avoir reçu plus de 100 millions de dollars sur les 500 millions de dollars que les affiliés ont reçus des victimes. Une récompense pouvant aller jusqu'à 10 millions de dollars a été offerte pour toute information sur Khoroshev. Deux affiliés de LockBit ont depuis été inculpés et ont plaidé coupables aux États-Unis.
En plus des nouvelles arrestations annoncées, les États-Unis, le Royaume-Uni et l'Australie ont annoncé des sanctions contre plusieurs membres d'Evil Corp. Le ministère américain de la Justice a annoncé des poursuites à l'encontre d'Aleksandr Ryzhenkov, mais pas pour les attaques LockBit. Il a en effet été inculpé pour les attaques du ransomware BitPaymer. Aleksandr Ryzhenkov est l'un des 16 membres présumés d'Evil Corp qui ont été sanctionnés par les trois pays.
Les sanctions visent également Maksim Yakubets, qui serait le chef du groupe Evil Corp et dont la tête est mise à prix pour 5 millions de dollars. Les autorités affirment qu'Aleksandr Ryzhenkov est le bras droit de Maksim Yakubets. Les opérations de LockBit auraient touché plus de 2 500 entités dans plus de 120 pays.
LockBit est toujours actif malgré l'ampleur de l'opération policière Cronos
Malgré les mesures prises par les forces de l'ordre, LockBit n'a apparemment pas cessé de mener des attaques, créant immédiatement de nouveaux sites de divulgation de données et continuant à cibler des organisations. En mai 2024, LockBit est redevenu l'opération de ransomware la plus active, bien que certains experts se soient demandé s'il s'agissait d'une réelle augmentation des attaques ou d'un écran de fumée dont l'objectif était de dissimuler l'état réel de l'entreprise criminelle. En effet, le nombre d'attaques revendiquées par LockBit au cours des mois de juin, juillet et août a considérablement diminué.
En juin, les cybercriminels ont annoncé avoir piraté la Réserve fédérale américaine, mais ont divulgué des données provenant d'une société de services financiers relativement petite. Il semble que cela ait été leur dernière grande annonce. Les sites Web de LockBit précédemment saisis par les forces de l'ordre ont été utilisés pour annoncer les nouvelles arrestations, inculpations et perturbations de l'infrastructure, démontrant que LockBit n'a plus le contrôle.
L'un des messages publiés mardi par la NCA sur le site Web de LockBit, intitulé « The demise of LockBit since February 2024 », révèle que les actions des forces de l'ordre contre LockBit ont été couronnées de succès et que les escrocs du cyberespace ont été considérablement touchés.
Envoyé par National Crime Agency (NCA)
LockBit a perdu des affiliés, dont certains se sont probablement tournés vers d'autres fournisseurs de Ransomware-as-a-Service à la suite de la perturbation causée par l'opération Cronos.
Le groupe LockBit Ransomware-as-a-Service a eu recours à la duplication des victimes déclarées, très certainement pour augmenter le nombre de victimes et masquer l'impact de l'opération Cronos. Parmi les victimes importantes revendiquées depuis le démantèlement, les deux tiers sont des mensonges complets de LockBit (quelle surprise !), et le tiers restant ne peut pas être vérifié comme étant de vraies victimes.
La réputation de LockBit a été ternie par la perturbation causée par l'opération Cronos et ses tentatives de récupération ont été compromises en conséquence. L'impact financier de cette perturbation n'a pas seulement touché Dmitry Khoroshev alias LockBitSupp, mais a également privé les acteurs de la menace associés de leurs fonds.
Les outils étaient conçus pour que les données soient conservées même si l'affilié pensait les effacer. Une fois payé, l'affilié devait normalement cliquer sur un bouton qui semblait effacer toutes les données de la victime dont l'escroc s'était emparé et les publier sur le site de LockBit, mais ce n'était pas le cas. Seul Dmitry Khoroshev avait la possibilité de supprimer réellement les données et l'affilié ne pouvait jamais savoir si les données avaient effectivement été effacées.
Les autorités ont déclaré que LockBit n'avait plus effacé les données depuis 2022. Cette découverte renforce l'idée que le fait de payer les auteurs de ransomwares ne garantit pas que les données volées au cours de l'attaque seront automatiquement protégées contre ceux qui chercheraient à les utiliser à mauvais escient.
Sources : Europol, ministère américain de la Justice, communiqué des autorités britanniques, UK National Crime Agency (NCA)
Et vous ?
Quel est votre avis sur le sujet ? Que pensez-vous de l'opération policière visant à démanteler LockBit et les résultats obtenus jusque-là ? L'opération mondiale de démantèlement de LockBit peut-il permettre de mettre à ce ransomware ?Voir aussi
Le cerveau du ransomware LockBit a été démasqué, des accusations et des sanctions sont annoncées contre Dimitry Yuryevich Khoroshev, le développeur et opérateur présumé du ransomware LockBit Le gang de cybercriminels LockBit fait face à un démantèlement mondial, 200 portefeuilles de crypto-monnaie gelés, 11 000 domaines saisis, 14 000 comptes fermés Le FBI informe les victimes du ransomware LockBit qu'il a obtenu plus de 7 000 clés de déchiffrement LockBit qui pourraient permettre à certaines d'entre elles de déchiffrer leurs données