LockBit, l’un des plus gros groupes de rançongiciel du monde, visé par une opération de police internationale

Deux suspects ont été arrêtés et plusieurs dizaines de serveurs ont été saisies dans le cadre d’une importante opération policière internationale, baptisée « Cronos », ciblant LockBit et impliquant les autorités de onze pays, dont la France, a annoncé Europol mardi 20 février.

Le groupe cybercriminel, spécialisé dans le rançongiciel – ces virus conçus pour paralyser des réseaux d’ordinateurs et demander une rançon aux victimes – s’était positionné, en quelques années, parmi les gangs les plus actifs de ce milieu. Les autorités américaines dénombraient, l’été dernier, un total de 1 700 attaques sur leur sol depuis l’apparition du groupe, en 2019, pour un « chiffre d’affaires » d’environ 91 millions de dollars (environ 84 millions d’euros) pour les seules rançons payées par les cibles situées aux Etats-Unis.

« On estime que c’est un rançongiciel qui compte pour un bon quart des attaques dans le monde, avec une prédisposition à frapper l’Europe », souligne auprès du Monde Jean-Philippe Lecouffe, directeur adjoint des opérations d’Europol, qui décrit un groupe « très attractif » pour les pirates, car « tous les outils étaient fournis ». LockBit avait notamment démultiplié les attaques en menant sur des forums russophones une vaste campagne de recrutement d’affiliés, le nom donné à ces spécialistes de l’intrusion qui travaillent en partenariat avec les opérateurs de rançongiciels. Durant le dernier trimestre de 2023, les attaques menées par LockBit et ses partenaires représentaient 8 % des incidents observés par Coveware, une entreprise de sécurité en pointe sur le sujet.

Une infrastructure technique décapitée

Dans le cadre de l’opération Cronos, chapeautée par Europol, les autorités sont notamment parvenues, en Pologne et en Ukraine, à arrêter deux personnes suspectées d’être des collaboratrices de LockBit, sur une demande émise par la justice française. Cette opération a surtout frappé au cœur l’infrastructure technique du groupe : au moins 34 serveurs ont été saisis dans huit pays, dont la France et les Etats-Unis, et les sites publics opérés par LockBit affichent désormais la traditionnelle notice d’information des autorités. Y compris le « wall of shame », le site utilisé par le groupe cybercriminel pour afficher les noms de ses victimes.

Lire aussi : Une enquête ouverte après une cyberattaque visant l’agence de voyages Voyageurs du monde

Ajouter à vos sélections

Au total, des milliers de noms de domaine ont été saisis par Europol, qui précise que l’infrastructure interne du groupe, dont la plate-forme utilisée par les affiliés pour se connecter, a également été mise hors d’usage par les autorités. « On a la main sur à peu près toute l’infrastructure », assure Jean-Philippe Lecouffe. Des clés de déchiffrement des données à destination des victimes potentielles seront également mises en ligne prochainement sur le site No More Ransom.

Il vous reste 45.73% de cet article à lire. La suite est réservée aux abonnés.