Depuis au moins 2019, un personnage obscur se cachant derrière plusieurs pseudonymes se réjouit publiquement d’avoir extorqué des millions de dollars à des milliers de victimes que lui et ses associés avaient piratées. Aujourd’hui, pour la première fois, « LockBitSupp » a été démasqué par une équipe internationale chargée de l’application des lois, et une prime de 10 millions de dollars a été placée pour son arrestation.
Dans un acte d’accusation dévoilé mardi, les procureurs fédéraux américains ont démasqué le personnage flamboyant qui s’appelle Dmitry Yuryevich Khoroshev, un ressortissant russe de 31 ans. Les procureurs ont déclaré qu’au cours de ses cinq années à la tête de LockBit, l’un des groupes de ransomware les plus prolifiques, Khoroshev et ses subordonnés ont extorqué 500 millions de dollars à quelque 2 500 victimes, dont environ 1 800 aux États-Unis. Sa part des revenus aurait été d’environ 100 millions de dollars.
Des dégâts se chiffrant en milliards de dollars
« Au-delà des paiements et des demandes de rançon, les attaques LockBit ont également gravement perturbé les opérations de leurs victimes, entraînant une perte de revenus et de dépenses associées à la réponse aux incidents et à la récupération », ont écrit les procureurs fédéraux. « En incluant ces pertes, LockBit a causé des dommages dans le monde entier totalisant des milliards de dollars américains. De plus, les données volées par Khoroshev et ses co-conspirateurs affiliés à LockBit – contenant des informations organisationnelles et personnelles hautement sensibles – sont restées non sécurisées et compromises à perpétuité, malgré les fausses promesses contraires de Khoroshev et de ses co-conspirateurs.
L’acte d’accusation accuse le ressortissant russe d’un chef de complot en vue de commettre une fraude, d’extorsion et d’activités connexes en rapport avec des ordinateurs, d’un chef de complot en vue de commettre une fraude électronique, de huit chefs de dommages intentionnels à un ordinateur protégé, de huit chefs d’extorsion en relation avec à des informations confidentielles provenant d’un ordinateur protégé, et huit chefs d’extorsion en relation avec des dommages causés à un ordinateur protégé. S’il est reconnu coupable, Khoroshev encourt une peine maximale de 185 ans de prison.
En plus de l’acte d’accusation, des responsables du département du Trésor américain, ainsi que leurs homologues britanniques et australiens, ont annoncé des sanctions contre Khoroshev. Entre autres choses, les sanctions américaines permettent aux autorités d’imposer des sanctions civiles à toute personne américaine qui effectue ou facilite des paiements au groupe LockBit. Le Département d’État américain a également annoncé une récompense de 10 millions de dollars pour toute information conduisant à l’arrestation et/ou à la condamnation de Khoroshev.
Extirper LockBit
Les actions de mardi surviennent 11 semaines après que les forces de l’ordre aux États-Unis et dans 10 autres pays ont porté un coup dur à l’infrastructure utilisée par les membres de LockBit pour exploiter leur entreprise de ransomware-as-a-service. Images publiées par les autorités fédérales sur le site Web sombre où LockBit a nommé et humilié les victimes en indiquant qu’elles avaient pris le contrôle de /etc/shadow, un fichier Linux qui stocke des mots de passe hachés de manière cryptographique. Le fichier, parmi les plus sensibles en matière de sécurité sous Linux, n’est accessible que par un utilisateur disposant de root, le niveau de privilèges système le plus élevé.
Au total, les autorités ont déclaré en février avoir pris le contrôle de 14 000 comptes associés à LockBit et de 34 serveurs situés aux Pays-Bas, en Allemagne, en Finlande, en France, en Suisse, en Australie, aux États-Unis et au Royaume-Uni. Deux suspects de LockBit ont été arrêtés en Pologne et en Ukraine, et cinq actes d’accusation et trois mandats d’arrêt ont été émis. Les autorités ont également gelé 200 comptes de cryptomonnaies liés à l’opération ransomware. La National Crime Agency du Royaume-Uni a déclaré mardi que le nombre d’affiliés actifs de LockBit était tombé de 114 à 69 depuis l’action de février, appelée Opération Cronos.
À la mi-mars, un homme de l’Ontario, au Canada, reconnu coupable d’avoir travaillé pour LockBit, a été condamné à quatre ans de prison. Mikhaïl Vasiliev, 33 ans au moment du prononcé de la peine, a été arrêté en novembre 2022 et accusé de complot en vue d’infecter des ordinateurs protégés avec un ransomware et d’avoir envoyé des demandes de rançon aux victimes. Il a plaidé coupable en février à huit chefs d’accusation de cyberextorsion, de méfait et d’armes.
L’identité réelle de l’alter ego LockBitSupp de Khoroshev est très recherchée depuis des années. LockBitSupp a prospéré grâce à son anonymat dans des messages fréquents sur des forums de hacking russophones, où il se vantait des prouesses et de la perspicacité de son travail. À un moment donné, il a promis une récompense de 10 millions de dollars à quiconque révélerait son identité. Après l’opération de février visant à détruire une grande partie de l’infrastructure LockBit, les procureurs ont laissé entendre qu’ils savaient qui était LockBitSupp, mais n’ont pas voulu le nommer.
LockBit fonctionne depuis au moins 2019 et était également connu sous le nom « ABCD » dans le passé. Trois ans après sa création, le malware du groupe était le ransomware le plus diffusé. Comme la plupart de ses pairs, LockBit fonctionne sous ce que l’on appelle un ransomware-as-a-service, dans lequel il fournit des logiciels et une infrastructure aux filiales qui l’utilisent pour effectuer le piratage proprement dit. LockBit et les sociétés affiliées divisent ensuite les revenus qui en résultent.
Histoire mise à jour pour corriger l’âge de Khoroshev. Initialement, le Département d’État a indiqué que sa date de naissance était le 17 avril 1973. Plus tard, l’agence a indiqué que c’était le 17 avril 1993.