Après avoir fait des milliers de victimes, dont des hôpitaux et des mairies, avec leur rançongiciel, une opération policière internationale a réussi à démanteler le groupe de pirates informatiques LockBit.

Après avoir infiltré le réseau du groupe, l’agence de lutte contre la criminalité britannique (NCA) a pris le contrôle des services de LockBit, compromettant la totalité de leur entreprise criminelle.

Selon l’agence britannique, le rançongiciel a ciblé des milliers de victimes à travers le monde et causé des pertes qui, au total, se chiffrent en milliards de dollars, en comptant les rançons versées et les coûts induits pour les victimes.

Nous avons piraté les pirates , s'est félicité Graeme Biggar, directeur général de la NCA , annonçant la neutralisation de LockBit lors d'une conférence de presse à Londres.

LockBit a ciblé les infrastructures critiques et les grands groupes industriels, avec des demandes de rançon allant de 5 à 70 millions d'euros (de 7,3 à 102,4 millions de dollars canadiens). En 2023, le groupe a notamment attaqué l'opérateur postal britannique et, en France, les hôpitaux de Corbeil-Essonnes et Versailles en région parisienne.

Un hôpital pour enfants à Toronto, SickKids, a également été ciblé par LockBit en 2023. Le groupe de pirates avait même présenté ses excuses en janvier, et proposé de déverrouiller les données cryptées.

Ouvrir en mode plein écran L'hôpital Sick Kids de Toronto. Photo : Radio-Canada / Patrick Morrell

Modus Operandi

Les pirates informatiques mettaient à disposition de leurs affiliés – des pirates indépendants qui lui versaient ensuite un pourcentage des rançons obtenues – des outils et infrastructures leur permettant de mener des attaques. Celles-ci consistaient à infecter le réseau informatique des victimes pour voler leurs données et crypter leurs fichiers.

Publicité

Une rançon était exigée en cryptomonnaies pour décrypter et récupérer les données, sous peine de publication des données des victimes.

LockBit a perçu plus de 120 millions de dollars américains (162 millions de dollars canadiens) de rançons au total, selon les États-Unis, où cinq personnes, notamment deux ressortissants russes, au total, font l'objet de poursuites.

Selon le patron de la NCA , les investigations n'ont pas mis en évidence de soutien direct de l'État russe envers LockBit, mais a néanmoins souligné une tolérance envers la cybercriminalité en Russie.

Ce sont des pirates, ils sont basés partout dans le monde, il y a une large concentration de ces individus en Russie et ils parlent souvent russe.

Une feuille de route dévastatrice

LockBit est présenté comme l'un des logiciels malveillants les plus actifs au monde, avec plus de 2500 victimes dans le monde.

Publicité

L’équipe responsable de l’enquête en France dit avoir interpellé deux cibles en Pologne et en Ukraine et avoir effectué des perquisitions, selon un communiqué du parquet de Paris.

L'opération a permis de prendre le contrôle d'une partie importante de l'infrastructure du rançongiciel LockBit, y compris sur le [web caché] , et notamment le mur de la honte, où étaient publiées les données des entités qui refusaient de payer la rançon .

Selon la NCA britannique, plus de 200 comptes de cryptomonnaies liés au groupe ont été gelés et les responsables ont obtenu plus de 1000 clés servant à décrypter les données afin de pouvoir les restituer à leurs propriétaires. Europol a affirmé que 34 serveurs en Europe, en Australie, aux États-Unis et en Grande-Bretagne avaient été mis hors service.

Ce site est à présent sous contrôle des forces de l'ordre , indique un message sur un site de LockBit, précisant que la NCA britannique a mis la main sur le site, en coopération avec le FBI américain et des agences de plusieurs pays.

La fin de LockBit?

Cela signifie probablement la fin de LockBit en tant que marque. L'opération a été compromise et les autres pirates ne voudront plus travailler avec le groupe , a déclaré à l' AFP Brett Callow, analyste des menaces d’Emsisoft, une entreprise de sécurité.

Mais ces dernières années, les spécialistes en cybersécurité ont également détecté des groupes de rançongiciels qui avaient suspendu leurs activités à la suite d'une action des forces de l'ordre, pour réapparaître ensuite sous d'autres noms.

Notre travail ne s'arrête pas ici. LockBit pourrait essayer de reconstruire son entreprise criminelle.