L’opération policière contre LockBit signe-t-elle vraiment la fin de ce groupe cybercriminel ?

« C’est un bon business, le rançongiciel ? » La question aurait presque pu avoir l’air badin, si elle n’avait été posée au beau milieu d’une négociation laborieuse. A la personne s’exprimant au nom de l’entreprise française dont il vient de paralyser une partie du réseau informatique, cet été 2022, le pirate de LockBit répond très sérieusement : « Les revenus sont clairement intéressants, mais il faut évaluer les conséquences et vivre avec. Ce business ne pardonne pas les erreurs. »

Cet échange consultable grâce au projet Ransomchat, un portail compilant ce type de négociations créé par le journaliste spécialisé Valery Marchive, était pour le moins prophétique. Le 20 février, Europol et les autorités de plusieurs pays, dont la France, dévoilaient « Cronos », une vaste opération ciblant le groupe cybercriminel LockBit, spécialisé dans le piratage et l’extorsion.

Deux arrestations de blanchisseurs présumés en Pologne et en Ukraine, 34 serveurs saisis, des portefeuilles de cryptomonnaies gelés… et d’autant plus de données récoltées qui viendront nourrir les enquêtes, comme celle ouverte en France par le parquet de Paris et menée par le centre de lutte contre les criminalités numériques (C3N) de la gendarmerie.

Effet domino

Est-ce pour autant vraiment la fin de ce gang cybercriminel ? Chaque fois qu’une opération policière vient mettre à mal leur infrastructure, les pirates spécialisés dans le rançongiciel ont l’habitude de reformer des groupes différents et de changer de nom. LockBit lui-même, qui en était déjà à son troisième « rebranding » (on parlait de « LockBit 3.0 »), préparait une nouvelle version de son logiciel malveillant, selon un récent rapport de l’entreprise de sécurité informatique Trend Micro.

Lire aussi | Article réservé à nos abonnés LockBit, l’un des plus gros groupes de rançongiciel du monde, visé par une opération de police internationale

Ajouter à vos sélections

Mais chaque avancée des autorités, chaque saisie de serveurs ou arrestation de suspects, apporte aux enquêteurs de nouvelles données. Et peuvent permettre, à terme, d’identifier et d’interpeller des complices. Ces deux dernières années, ce fut le cas aux Etats-Unis et au Canada. Plusieurs acteurs-clés de ces groupes sont néanmoins soupçonnés de vivre en Russie, restant derrière les frontières d’un Etat réputé peu coopératif avec les autorités américaines et européennes.

Pour ceux-là, les mandats d’arrêt internationaux émis par différents pays, et surtout les actes d’inculpation dévoilés publiquement par la justice américaine, mettent une pression non négligeable. Des documents judiciaires visant deux citoyens russes, Artur Sungatov et Ivan Kondratyev, ont d’ailleurs été dévoilés dans la foulée de l’opération « Cronos ». Les Etats-Unis, préoccupés par les rançongiciels depuis l’attaque contre Colonial Pipeline, ont acté que certains suspects étaient difficiles à interpeller.

Il vous reste 57.96% de cet article à lire. La suite est réservée aux abonnés.