LockBit, décrit par les forces de l’ordre comme l’un des gangs de ransomware les plus prolifiques au monde, a été démantelé dans le cadre d’une campagne coordonnée impliquant des responsables des États-Unis, du Royaume-Uni et d’une demi-douzaine d’autres pays, ont annoncé aujourd’hui plusieurs agences.
Le ministère américain de la justice a rendu public un acte d’accusation à l’encontre de deux Russes, Artur Sungatov et Ivan Kondratyev, pour avoir mené des attaques LockBit contre des entreprises américaines. Artur Sungatov aurait attaqué des fabricants, des compagnies d’assurance et d’autres entreprises dans au moins six États depuis janvier 2021.
« Aujourd’hui, les forces de l’ordre américaines et britanniques s’emparent des clés de leur opération criminelle », a déclaré Merrick Garland, procureur général des États-Unis, dans le communiqué du ministère de la Justice. « Et nous allons encore plus loin : nous avons également obtenu les clés de l’infrastructure LockBit saisie pour aider les victimes à décrypter leurs systèmes capturés et à retrouver l’accès à leurs données.
Kondratyev, connu en ligne sous le nom de « Bassterlord », aurait déployé le ransomware sur des cibles allant des administrations municipales aux entreprises en Oregon, à Porto Rico et à l’étranger à partir d’août 2021.
La portée mondiale de l’opération Cronos visant à faire tomber LockBit. Image : Europol
L’Office of Foreign Assets Control (OFAC) du département du Trésor a sanctionné Sungatov et Kondratyev, interdisant aux personnes et aux entreprises américaines de faire des affaires avec eux et gelant tout actif sous la juridiction des États-Unis, et a ajouté neuf adresses de portefeuilles Bitcoin et une adresse de portefeuilles Ethereum qui leur sont liées à la liste des sanctions.
L’opération Cronos, qui a duré des mois, a permis de saisir des dizaines de serveurs en Europe, en Amérique du Nord et en Australie, utilisés pour mener les attaques de ransomware de LockBit, qui cryptaient les données des victimes et leur extorquaient des paiements, selon une annonce faite mardi par Europol.
Les autorités ont également pris le contrôle du portail du dark web où LockBit publiait les données sensibles volées aux victimes qui refusaient de payer.
« Nous avons maintenant détruit l’épine dorsale en ligne du groupe LockBit, l’un des gangs de ransomware les plus prolifiques au monde », a déclaré Catherine De Bolle, directrice exécutive d’Europol, dans le communiqué.
« La première étape pour mettre les cybercriminels derrière les barreaux est de les dénoncer dès qu’ils se produisent », a-t-elle ajouté. « Plus le signalement est précoce, plus les forces de l’ordre sont en mesure d’évaluer rapidement les nouvelles méthodes et de limiter les dommages qu’elles peuvent causer. «
Qu’est-ce que LockBit ?
LockBit est apparu pour la première fois au début de l’année 2020, à l’aide d’un ransomware qui chiffre les fichiers des victimes et les verrouille hors de leurs réseaux à moins qu’elles ne paient une rançon, généralement en crypto-monnaie. Selon l’acte d’accusation du ministère de la justice, les paiements étaient généralement demandés en bitcoins.
Comme d’autres gangs de « ransomware-as-a-service », LockBit fonctionnait grâce à un noyau de développeurs qui créaient les outils malveillants et géraient l’infrastructure, puis recrutaient des affiliés pour infecter les cibles en échange d’une part des recettes. Les développeurs de LockBit géraient un tableau de bord qui permettait aux affiliés de lancer des attaques en quelques clics.
En 2022, LockBit a éclipsé d’autres souches de ransomware pour devenir le plus largement déployé dans le monde, selon Europol. Selon le ministère de la justice, le syndicat a récolté plus de 120 millions de dollars en paiements de rançons auprès de plus de 2 000 victimes dans le monde, le montant total des demandes atteignant probablement des centaines de millions.
LockBit s’est fait connaître par son recours à la « triple extorsion », menaçant les victimes non seulement de chiffrer leurs données, mais aussi de les exposer à des informations volées et à des attaques par déni de service paralysantes.
Les autorités ripostent
Le groupe de travail « Operation Cronos », composé d’organismes chargés de l’application de la loi de 10 pays, s’est attaqué à LockBit pendant des mois. Le tournant s’est produit avec la saisie de dizaines de serveurs de commande et de contrôle sur lesquels LockBit s’appuyait pour déployer des ransomwares et gérer ses opérations. Selon Europol, les autorités ont désormais « pris le contrôle de l’infrastructure technique qui permet à tous les éléments du service LockBit de fonctionner ».
En conséquence, « plus de 14 000 comptes malhonnêtes responsables de l’exfiltration ou de l’infrastructure ont été identifiés et renvoyés pour suppression », a déclaré l’agence.
En outre, les autorités françaises et américaines ont arrêté ou inculpé une liste de plus en plus longue de membres présumés de LockBit. En octobre 2022, la Pologne a arrêté Ivan Kondratiev, suspecté d’être à l’origine du ransomware, tandis qu’un autre ressortissant russe a été arrêté en Ukraine.
Trois mandats d’arrêt internationaux ont été délivrés dans le cadre de la récente offensive. Les autorités françaises ont également procédé à cinq mises en examen. Les autorités ont entre-temps gelé les portefeuilles de crypto-monnaies que les membres de LockBit auraient utilisés pour payer les rançons.
« Cela souligne l’engagement à perturber les incitations économiques à l’origine des attaques par ransomware », a déclaré le DOJ.
Aider les victimes à se rétablir
Avec le contrôle des systèmes de LockBit, les autorités ont obtenu des clés de décryptage pour aider des centaines de victimes à retrouver l’accès à leurs données.
« Nous retournons la situation contre LockBit, en fournissant des clés de décryptage, en déverrouillant les données des victimes et en poursuivant les affiliés criminels de LockBit dans le monde entier », a déclaré Lisa Monaco, vice-procureur général, dans son communiqué.
Les victimes d’attaques par LockBit sont invitées à contacter les forces de l’ordre via un site web du ministère de la Justice afin de déterminer si leurs fichiers peuvent être décryptés.
Ces solutions ont également été mises à disposition gratuitement sur le portail « No More Ransom », disponible en 37 langues. Jusqu’à présent, plus de 6 millions de victimes dans le monde ont bénéficié de No More Ransom, qui contient plus de 120 solutions capables de décrypter plus de 150 types de ransomware.
M. Monaco a déclaré que cette opération constituait un revers majeur pour l’un des groupes de ransomware les plus agressifs, mais qu’il ne s’agirait pas de la dernière action contre les cybercriminels.
« Notre enquête va se poursuivre et nous sommes toujours aussi déterminés à identifier et à inculper tous les membres de LockBit, qu’il s’agisse de ses développeurs, de ses administrateurs ou de ses affiliés », a déclaré le procureur Philip Sellinger. « Nous allons braquer les projecteurs sur eux en tant que criminels recherchés. Ils ne se cacheront plus dans l’ombre. «
