Démantèlement et interpellation en France

Dans le cadre d'une opération ayant impliqué les autorités policières et judiciaires de onze pays, le groupe cybercriminel à l'origine du développement et du déploiement du ransomware Ragnar Locker vient d'être démantelé.

Depuis 2020, le groupe Ragnar Locker serait à l'origine de 168 cyberattaques, dont une dizaine en France. Il a pour spécialité les grandes entreprises et pratique une double extorsion. Le chiffrement de fichiers s'accompagnait au préalable d'une exfiltration de données.

Des rançons de 5 à 70 millions de dollars étaient demandées en échange de l'obtention d'une clé de déchiffrement. À défaut, le groupe menaçait de divulguer les données volées sur le Dark Web. Contrairement à d'autres groupes de ransomware, Ragnar Locker ne s'appuyait pas sur un modèle de Ransomware-as-a-service (RaaS).

Troisième action contre Ragnar Locker

Selon Europol, plusieurs serveurs pour l'infrastructure technique de Ragnar Locker ont été saisis aux Pays-Bas, en Allemagne et en Suède. Présent sur le réseau Tor, le site web associé aux fuites de données a été supprimé en Suède.

Des perquisitions et auditions de suspects ont eu lieu en France, en Espagne, en Lettonie et en République tchèque. C'est en France qu'un individu présenté comme la cible clé de Ragnar Locker a été arrêté. Ce ressortissant russe réside en République tchèque. Il a été interpellé à Roissy.

De telles arrestations ne sont pas si fréquentes dans des affaires de ce genre, notamment pour un opérateur présumé, mais Ragnar Locker les cumule. Des suspects avaient déjà été arrêtés en Ukraine en septembre 2021, puis un autre suspect au Canada en octobre 2022.

Un vrai coup d'arrêt ?

" La coopération internationale est la clé de la lutte contre les groupes de ransomware. La prévention et la sécurité s'améliorent, mais les opérateurs de ransomware continuent d'innover et de trouver de nouvelles victimes. […] J'espère que cette série d'arrestations envoie un message fort aux opérateurs de ransomware qui pensent pouvoir continuer leurs attaques sans conséquence ", déclare le responsable du Centre européen de lutte contre la cybercriminalité.

D'après Europol, le ransomware Ragnar Locker prenait pour cible les appareils fonctionnant avec le système d'exploitation Windows et exploitait généralement des services comme Remote Desktop Protocol (accès à distance).

Filiale américaine de Dassault Aviation, Dassault Falcon Jet a eu maille à partir avec Ragnar Locker, tout comme l'armateur de porte-conteneurs CMA CGM, ou encore le groupe LDLC. Il y avait également eu l'éditeur japonais de jeux vidéo Capcom.