L’infrastructure du ransomware LockBit mise à mal par les forces de l’ordre  

Deux personnes ont été arrêtées et 200 comptes de crypto-monnaies gelés

Une opération internationale des forces de l’ordre de dix pays baptisée « Cronos » a mis à mal l’activité de l’organisation qui pilote le ransomware LockBit. LockBit est une variante de ransomware la plus déployée et particulièrement malveillante dans le monde, causant des dégâts considérables dans les entreprises et les services publics.

Trente quatre serveurs démantelés


La plateforme principale de LockBit et d’autres infrastructures critiques ont été compromises. Cela inclut le démantèlement de 34 serveurs aux Pays-Bas, en Allemagne, en Finlande, en France, en Suisse, en Australie, aux États-Unis et au Royaume-Uni. Par ailleurs, deux personnes intervenant pour LockBit ont été arrêtées en Pologne et en Ukraine à la demande des autorités judiciaires françaises.

Trois mandats d’arrêt internationaux et cinq actes d’accusation ont été émis

Trois mandats d’arrêt internationaux et cinq actes d’accusation ont également été émis par les autorités judiciaires françaises et américaines. Les autorités ont gelé plus de 200 comptes de crypto-monnaie liés à l’organisation criminelle et 14 000 comptes malveillants responsables d’exfiltrations ou d’infrastructures ont été identifiés et soumis aux forces de l’ordre pour suppression.

La National Crime Agency du Royaume-Uni a désormais pris le contrôle de l’infrastructure technique qui permet à tous les éléments du service LockBit de fonctionner, ainsi que de son site de fuite sur le dark web, sur lequel LockBit hébergeait les données volées aux victimes lors d’attaques de ransomware.

Une enquête menée par la National Crime Agency du Royaume-Uni

Cette opération internationale fait suite à une enquête qualifiée de complexe menée par la National Crime Agency du Royaume-Uni dans le cadre d’une taskforce internationale connue sous le nom d’« Opération Cronos », coordonnée au niveau européen par Europol et Eurojust.

Des activités en cours ciblent les dirigeants du groupe LockBit, les développeurs, les filiales, les infrastructures et les actifs criminels

Les forces de l’ordre déclarent disposer d’une grande quantité de données recueillies tout au long de l’enquête. Ces données seront utilisées pour soutenir les activités opérationnelles internationales en cours ciblant les dirigeants du groupe LockBit, ainsi que les développeurs, les filiales, les infrastructures et les actifs criminels liés à ces activités criminelles. Europol a joué son rôle de coordination afin de faciliter la communication avec des pays impliqués des deux côtés du monde.

Le Centre européen de lutte contre la cybercriminalité (EC3) d’Europol a organisé 27 réunions opérationnelles et quatre sprints techniques d’une semaine pour développer les pistes d’enquête en vue de préparer la phase finale de l’enquête. Trois experts d’Europol étaient présents au poste de commandement de Londres pendant la phase d’action. Le dossier a été ouvert à Eurojust en avril 2022 à la demande des autorités françaises. Cinq réunions de coordination ont été organisées par l’Agence pour faciliter la coopération judiciaire et préparer l’action commune.


LockBit, un logiciel malveillant commercialisé en tant que « ransomware-as-a-service »

Le ransomware LockBit est le plus dangereux au monde. Il est apparu pour la première fois fin 2019, sous le nom de ransomware « ABCD ». Il s’est développé rapidement et il est devenu en 2022 la variante de ransomware la plus déployée dans le monde. Le groupe derrière LockBit est une organisation « ransomware-as-a-service ». C’est-à-dire qu’une équipe centrale crée son malware et gère son site Web, et propose sous licence son code à des affiliés qui lancent des attaques qui vont chiffrer les données des entreprises et exiger une rançon pour rendre les données de nouveau lisibles.

Des centaines d’affiliés ont été recrutés pour mener des opérations de ransomware à l’échelle mondiale

Des centaines d’affiliés ont été recrutés pour mener des opérations de ransomware à l’échelle mondiale, à l’aide des outils et de l’infrastructure de LockBit. Les paiements de rançon ont été répartis entre l’équipe principale de LockBit et les affiliés, qui ont reçu en moyenne les trois quarts des rançons collectées, indique Europol. Le groupe de ransomwares a accru la pression sur ses victimes afin qu’elles paient des rançons.

La triple extorsion est l’une de ses méthodes qui comprend le cryptage des données de la victime, la menace de la divulgation des données et des attaques par déni de service distribué (DDoS). La décision du gang de recourir à la triple extorsion a été en partie influencée par une attaque DDoS dont ils ont eux-mêmes été victimes, qui a entravé leur capacité à publier les données volées. En réponse, LockBit a amélioré son infrastructure pour résister à de telles attaques.

Un groupe de travail international pour lutter contre LocKbit

Le groupe de travail international Operation Cronos vise à cibler et perturber le ransomware LockBit. Les autorités suivantes font partie de ce groupe de travail : 

  • France : Gendarmerie nationale (Gendarmerie Nationale – Unité nationale cyber C3N)
  • Allemagne : Bureau d’État d’enquête criminelle du Schleswig-Holstein (LKA Schleswig-Holstein), Office fédéral de la police criminelle (Bundeskriminalamt)
  • Pays-Bas : police nationale (Team Cybercrime Zeeland-West-Brabant, Team Cybercrime Oost-Brabant, Team High Tech Crime) et parquet de Zeeland-West-Brabant
  • Suède : autorité de police suédoise
  • Australie : Police fédérale australienne (AFP)
  • Canada : Gendarmerie royale du Canada (GRC)
  • Japon : Agence nationale de police (警察庁)
  • Royaume-Uni : National Crime Agency (NCA), South West Regional Organized Crime Unit (South West ROCU)
  • États-Unis : Département américain de la Justice (DOJ), Federal Bureau of Investigation (FBI) Newark
  • Suisse : Office fédéral de la police (fedpol), Ministère public du canton de Zurich, Police cantonale de Zurich

Cette action a été rendue possible grâce au soutien des pays suivants :

  • Finlande : Police nationale (Poliisi)
  • Pologne : Bureau central de lutte contre la cybercriminalité de Cracovie ( Centralne Biuro Zwalczania Cyberprzestępczości – Zarząd w Krakowie)
  • Nouvelle-Zélande : Police néo-zélandaise (Nga Pirihimana O Aotearoa)
  • Ukraine : Bureau du procureur général d’Ukraine (Офіс Генерального прокурора України), Département de cybersécurité du service de sécurité d’Ukraine (Служба безпеки України), Police nationale d’Ukraine (Національна поліція України)

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *