Getty Images | Charles O’Rear
Un double ressortissant canado-russe a été condamné à quatre ans de prison pour son rôle dans l’infection de plus de 1 000 victimes avec le ransomware LockBit, puis dans leur extorsion de dizaines de millions de dollars.
Mikhail Vasiliev, un homme de 33 ans qui vivait récemment en Ontario, au Canada, a été arrêté en novembre 2022 et accusé de complot en vue d’infecter des ordinateurs protégés avec un ransomware et d’avoir envoyé des demandes de rançon aux victimes. Le mois dernier, il a plaidé coupable à huit chefs d’accusation de cyberextorsion, de méfait et d’armes.
Lors d’un raid en octobre 2022 au domicile de Vasiliev à Bradford, en Ontario, des agents canadiens chargés de l’application des lois ont trouvé Vasiliev travaillant sur un ordinateur portable qui affichait un écran de connexion au panneau de contrôle LockBit, que les membres utilisaient pour mener des attaques. Les enquêteurs ont également trouvé une phrase de départ pour une adresse de portefeuille Bitcoin qui était liée à un autre portefeuille qui avait reçu un paiement d’une victime qui avait été infectée et extorquée par LockBit.
Lors d’une précédente perquisition, les enquêteurs ont trouvé un fichier nommé « TARGETLIST » stocké sur l’un des appareils de Vasiliev, ont indiqué des agents du FBI dans un document judiciaire. Le dossier contenait une liste de ce qui semblait être des victimes potentielles ou historiques de cybercriminalité ciblées par LockBit. Les enquêteurs ont également découvert :
- Captures d’écran d’échanges de messages avec une personne portant le nom d’utilisateur LockBitSupp, un surnom utilisé par un ou plusieurs des principaux membres de LockBit. Les messages discutaient de l’état des données volées stockées sur les serveurs LockBit et d’une victime confirmée de LockBit située en Malaisie.
- Un fichier texte intitulé « LockBit Linux/ESXi locker V : 1.1 » qui comprenait ce qui semblait être des instructions pour le déploiement du ransomware LockBit.
- Photographies d’un écran d’ordinateur affichant les noms d’utilisateur et les mots de passe des appareils appartenant aux employés d’une victime confirmée de LockBit qui avait été infectée en janvier 2022.
LockBit fonctionne depuis au moins 2019 et était également connu sous le nom « ABCD » dans le passé. En trois ans, le malware du groupe était le ransomware le plus diffusé. Comme la plupart de ses pairs, LockBit fonctionne sous ce que l’on appelle un ransomware-as-a-service, dans lequel il fournit des logiciels et une infrastructure aux filiales qui l’utilisent pour effectuer le piratage proprement dit. LockBit et les sociétés affiliées divisent ensuite les revenus qui en résultent. Des centaines d’affiliés y ont participé. Le FBI a déclaré le mois dernier que LockBit avait extorqué à ce jour plus de 120 millions de dollars à des milliers de victimes à travers le monde.
Le mois dernier, le FBI a déclaré que lui et les forces de l’ordre partenaires du monde entier avaient porté un coup dur à LockBit en saisissant la plupart de l’infrastructure de serveur que le groupe utilisait pour coordonner les attaques et demander des rançons aux victimes. Le retrait a eu lieu après que les agents chargés de l’application des lois ont obtenu les plus hauts niveaux d’accès au système LockBit et au panneau Web principal que les opérateurs LockBit utilisaient pour communiquer.
Les autorités ont déclaré avoir pris le contrôle de 14 000 comptes et 34 serveurs situés aux Pays-Bas, en Allemagne, en Finlande, en France, en Suisse, en Australie, aux États-Unis et au Royaume-Uni. Deux suspects de LockBit ont été arrêtés en Pologne et en Ukraine, et cinq actes d’accusation et trois mandats d’arrêt ont été émis. Les autorités ont également gelé 200 comptes de crypto-monnaie liés à l’opération ransomware.
Deux jours plus tard, les chercheurs ont détecté une nouvelle série d’attaques propageant le ransomware LockBit. Quelques jours plus tard, un membre clé de LockBit a publié un article affirmant que les forces de l’ordre n’avaient supprimé qu’une partie de l’infrastructure du groupe. Les membres de LockBit ont ouvert un nouveau site Web sombre qui prétendait avoir piraté plusieurs nouvelles victimes. La nouvelle activité a suscité chez certains des inquiétudes quant à la viabilité de LockBit.
La semaine dernière, le journaliste Valéry Marchive a affirmé que la plupart des piratages revendiqués sur le nouveau site étaient des recyclages d’événements antérieurs survenus en 2022, 2023 et 2024. « Les données divulguées par la franchise LockBit 3.0 ne semblent pas être le résultat de cyberattaques menées par un très grand nombre de chaînes », a écrit Marchive. LockBit 3.0 était une référence au groupe nouvellement relancé, comme le prétend le nouveau site Web sombre.
Michelle Fuerst, la juge qui présidait le cas de Vasiliev, a déclaré lors du prononcé de la peine mardi que Vasiliev était un « cyber-terroriste » dont les actions étaient « planifiées, délibérées et froidement calculées », selon CTVNews. Le juge aurait également déclaré que les actes de l’accusé étaient « loin d’être des crimes sans victimes » et qu’il était « motivé par sa propre cupidité ».
Un avocat représentant l’accusé a déclaré : « Mikhaïl Vasiliev a assumé la responsabilité de ses actes, et cela s’est reflété dans la salle d’audience d’aujourd’hui avec la peine qui a été prononcée. »