Une coalition d’organismes internationaux d’application de la loi, dont le Federal Bureau of Investigation des États-Unis et la National Crime Agency du Royaume-Uni, a perturbé les opérations du célèbre gang de ransomwares LockBit.
Le site de fuite du dark web de LockBit – où le groupe répertorie publiquement ses victimes et menace de divulguer leurs données volées à moins qu’une demande de rançon ne soit payée – a été remplacé lundi par un avis des forces de l’ordre.
Depuis qu’il est apparu pour la première fois comme une opération de ransomware fin 2019, LockBit est devenu l’un des gangs de cybercriminalité les plus prolifiques au monde, ciblant des victimes du monde entier et récoltant des millions de dollars en rançons extorquées.
Hattie Hafenrichter, porte-parole de la National Crime Agency du Royaume-Uni, a confirmé à TechCrunch que « les services LockBit ont été perturbés à la suite d’une action internationale des forces de l’ordre ». Un message sur le site de la fuite a confirmé que le site est « désormais sous le contrôle de la National Crime Agency du Royaume-Uni, travaillant en étroite coopération avec le FBI et le groupe de travail international chargé de l’application des lois, « Opération Cronos » ».
Au moment de la rédaction de cet article, le site héberge désormais une série d’informations exposant les capacités et les opérations de LockBit, y compris des fuites back-end et des détails sur le chef présumé de LockBit, connu sous le nom de LockBitSupp.
TechCrunch (capture d’écran)
L’Opération Chronos est un groupe de travail dirigé par l’ANC et coordonné en Europe par les forces de l’ordre Europol et Eurojust. L’opération de suppression du ransomware a également impliqué d’autres organisations policières internationales d’Australie, du Canada, de France, de Finlande, d’Allemagne, des Pays-Bas, du Japon, de Suède, de Suisse et des États-Unis.
Dans son annonce de mardi, Europol a confirmé que l’opération qui a duré des mois a « abouti à la compromission de la plate-forme principale de LockBit et d’autres infrastructures critiques qui ont permis leur entreprise criminelle ». Cela comprend le démantèlement de 34 serveurs en Europe, au Royaume-Uni et aux États-Unis, ainsi que la saisie de plus de 200 portefeuilles de crypto-monnaie.
On ne sait pas encore quelle quantité de cryptomonnaie a été stockée dans ces portefeuilles, ni quelle quantité les autorités ont saisie.
Par ailleurs, le ministère américain de la Justice a dévoilé les actes d’accusation contre deux ressortissants russes, Artur Sungatov et Ivan Gennadievich Kondratiev, pour leur implication présumée dans le lancement des cyberattaques LockBit.
Le ministère de la Justice a déjà inculpé trois autres membres présumés du ransomware LockBit : Mikhail Vasiliev, un double ressortissant russo-canadien, est actuellement en détention au Canada en attente d’extradition par les États-Unis ; et le ressortissant russe Ruslan Magomedovich Astamirov est détenu aux États-Unis en attendant son procès. Un troisième membre présumé, Mikhail Pavlovich Matveev, alias Wazawaka, vivrait dans l’enclave russe de Kaliningrad et reste soumis à une prime de 10 millions de dollars du gouvernement américain pour les informations ayant conduit à son arrestation.
Deux acteurs présumés de LockBit ont également été arrêtés en Pologne et en Ukraine à la demande des autorités judiciaires françaises.
Avant le retrait de lundi, LockBit affirmait sur son site de fuite du dark web qu’il était « situé aux Pays-Bas, complètement apolitique et uniquement intéressé par l’argent ».
Dans le cadre de l’opération Cronos, les forces de l’ordre affirment avoir obtenu des clés de décryptage de l’infrastructure saisie par LockBit pour aider les victimes du gang de ransomwares à retrouver l’accès à leurs données.
Allan Liska, expert en ransomware et analyste de renseignements sur les menaces chez Recorded Future, a déclaré à TechCrunch que cette action « marque absolument la fin de l’opération LockBit dans sa forme actuelle ».
« Bien que le principal porte-parole de l’opération LockBit, LockBitSupp, ne soit pas arrêté, son opération est paralysée et son infrastructure est complètement exposée. Sur la base de retraits passés comme celui-ci, cela aura un impact sérieux sur sa réputation et sa capacité à attirer de nouveaux affiliés à l’avenir », a déclaré Liska.
Selon le DOJ, LockBit a été utilisé dans environ 2 000 attaques de ransomware contre les systèmes des victimes aux États-Unis et dans le monde, et a reçu plus de 120 millions de dollars en rançons.
Matt Hull, responsable du renseignement sur les menaces chez la société de cybersécurité basée au Royaume-Uni NCC Group, a déclaré à TechCrunch que la société a enregistré plus d’un millier de victimes de LockBit au cours de la seule année 2023, soit « 22 % de toutes les victimes de ransomwares que nous avons identifiées pour toute l’année ».
LockBit et ses filiales ont revendiqué la responsabilité du piratage de certaines des plus grandes organisations du monde. Le groupe a revendiqué l’année dernière la responsabilité des attaques contre le géant de l’aérospatiale Boeing, le fabricant de puces TSMC et le géant postal britannique Royal Mail. Ces derniers mois, LockBit a revendiqué la responsabilité d’une attaque de ransomware contre le comté de Fulton, en Géorgie, aux États-Unis, qui a perturbé les services clés du comté pendant des semaines, ainsi que de cyberattaques visant le laboratoire de recherche aérospatiale appartenant à l’État indien et l’un des plus grands géants financiers indiens.
Le retrait de lundi est la dernière d’une série d’actions policières visant les gangs de ransomwares. En décembre, un groupe d’organismes internationaux chargés de l’application des lois ont annoncé avoir saisi le site de fuite sur le Web sombre du célèbre gang de ransomwares connu sous le nom d’ALPHV, ou BlackCat, qui a fait un certain nombre de victimes très médiatisées, notamment le site de partage d’informations Reddit, une société de soins de santé. Norton et le Barts Health NHS Trust de Londres.
Ceci est une histoire en développement.