Cybercriminalité: le groupe de hackers « le plus nuisible » au monde démantelé

Le groupe de cybercriminels LockBit, présenté comme « le plus nuisible » au monde a été démantelé lors d’une opération de police internationale. Le groupe fonctionnait comme une entreprise professionnelle ayant recours à des affiliés.

Mardi, une opération conjointe des autorités de dix pays, menée par l’Agence de lutte contre la criminalité britannique (NCA), a interrompu « à tous les niveaux » les services de LockBit, sous le nom de code « Opération Cronos ».

Des milliards d’euros de perte

« Après avoir infiltré le réseau du groupe, la NCA (agence de lutte contre la criminalité britannique, ndlr) a pris le contrôle des services de LockBit, compromettant la totalité de leur entreprise criminelle », a déclaré la NCA dans un communiqué. Selon elle, le rançongiciel a ciblé « des milliers de victimes à travers le monde » et causé des pertes qui se chiffrent en milliards d’euros.

« Nous avons hacké les hackers », s’est félicité Graeme Biggar, directeur général de la NCA, annonçant la mise hors d’état de nuire de LockBit lors d’une conférence de presse à Londres.

The NCA reveals details of an international disruption campaign targeting the world’s most harmful cyber crime group, Lockbit.

Watch our video and read on to learn more about Lockbit and why this is a huge step in our collective fight against cyber crime. pic.twitter.com/m00VFWkR9Z

— National Crime Agency (NCA) (@NCA_UK) February 20, 2024

« Ce site est à présent sous contrôle des forces de l’ordre », indiquait un message sur un site de LockBit, précisant que la NCA britannique a pris la main sur le site, en coopération avec le FBI américain et les agences de plusieurs pays. « Nous pouvons confirmer que les services de LockBit sont perturbés en raison d’une opération de police internationale, il s’agit d’une opération en cours », ajoute le message.

Europol a affirmé que 34 serveurs en Europe, en Australie, aux États-Unis et en Grande-Bretagne avaient été mis hors service et que 200 comptes de cryptomonnaies liés à LockBit avaient été gelés.

LockBit est présenté comme un logiciel malveillant parmi les plus actifs au monde, avec plus de 2500 victimes dont plus de 200 en France,  y compris « des hôpitaux, des mairies, et des sociétés de toutes tailles », a indiqué dans un communiqué le parquet de Paris.

Une entreprise professionnelle de rançonnage

Contrairement à d’autres groupes de pirates et de cybercriminels, LockBit se présentait comme une entreprise professionnelle, sollicitant des retours de ses affiliés et apportant des améliorations à son rançongiciel.

« LockBit fonctionne comme une entreprise. Ils savent – ou du moins savaient – mener leur barque, ce qui leur a permis de se maintenir à flot face à d’autres opérations du même type », a expliqué à l’AFP Brett Callow, analyste des menaces chez Emsisoft, une entreprise de sécurité.

La NCA a déclaré que cette action avait compromis « l’ensemble de l’entreprise criminelle ». « Cela signifie probablement la fin de LockBit en tant que marque. L’opération a été compromise et les autres cybercriminels ne voudront plus travailler avec eux », a déclaré à l’AFP M. Callow.

Mais ces dernières années, les experts en cybersécurité ont également détecté des groupes de rançongiciels qui avaient suspendu leurs activités à la suite d’une action des forces de l’ordre, pour réapparaître ensuite sous d’autres noms. « Notre travail ne s’arrête pas ici. LockBit pourrait essayer de reconstruire son entreprise criminelle », a averti Graeme Biggar, directeur général de la NCA, dans un communiqué.

La technique éprouvée de LockBit consite à bloquer des données et exiger une rançon pour les débloquer. En cas de refus, les données étaient revendues sur le dark web.

Plutôt que d’opérer lui-même une gigantesque opération criminelle, LockBit mettait son logiciel malveillant à la disposition de ses affiliés – des pirates indépendants qui lui versaient ensuite un pourcentage des rançons obtenues. Ce système est connu sous le nom de « rançongiciel à la demande » (ou « Raas », « Ransomware as a Service » en anglais).

LockBit se rémunérait ainsi via des paiements initiaux et des abonnements, ou récupérait une partie de la rançon obtenue, selon l’Agence américaine de cybersécurité (CISA).

1700 attaques

LockBit a perçu plus de 120 millions de dollars de rançons au total, selon les États-Unis, où cinq personnes, notamment deux ressortissants russes, au total font l’objet de poursuites.

En novembre 2022, le ministère américain de la Justice (DoJ) avait qualifié le rançongiciel LockBit de « plus actif et plus destructeur des variants dans le monde ». LockBit a ciblé les infrastructures critiques et les grands groupes industriels, avec des demandes de rançon allant de 5 à 70 millions d’euros. En 2023, le groupe a notamment attaqué l’opérateur postal britannique et un hôpital canadien pour enfants, et en France les hôpitaux de Corbeil-Essonnes et Versailles en région parisienne.

Les cybercriminels mettaient à disposition de leurs « affiliés » outils et infrastructures leur permettant de mener des attaques. Celles-ci consistaient à infecter le réseau informatique des victimes pour voler leur données et crypter leurs fichiers. Une rançon était exigée en cryptomonnaies pour décrypter et récupérer les données, sous peine de publication des données des victimes.

Selon un site des autorités américaines faisant référence mi-juin à des données de la police fédérale FBI, le groupe a mené plus de 1700 attaques contre des victimes aux États-Unis et dans le monde (Australie, Canada, Nouvelle-Zélande notamment).

Une « tolérance » envers la cybercriminalité en Russie

Repéré en 2019 pour la première fois et aux mains de hackers russophones, il aurait perçu pour environ 91 millions de dollars de rançons au total.

Selon le patron de la NCA, les investigations n’ont pas mis en évidence de « soutien direct » de l’État russe envers LockBit, mais a néanmoins souligné une « tolérance » envers la cybercriminalité en Russie. « Ce sont des cybercriminels, ils sont basés partout dans le monde, il y a une large concentration de ces individus en Russie et ils parlent souvent russe », a-t-il déclaré.

« Inondé d’argent, l’écosystème des rançongiciels a bondi en 2023, tout en continuant à faire évoluer ses tactiques », a fait valoir la société de cybersécurité MalwareBytes, dans un rapport publié en février. « Le nombre d’attaques connues a augmenté de 68%, le montant moyen payé par les victimes a grimpé en flèche et la plus grande demande de rançon de l’année a atteint la somme incroyable de 80 millions de dollars », a-t-elle ajouté. Cette demande est intervenue après qu’une attaque LockBit a paralysé le groupe postal britannique Royal Mail pendant des semaines.

Un large éventail de cibles, allant des particuliers et des petites entreprises aux grandes sociétés, a été visé.

Selon MalwareBytes, ce logiciel malveillant a été utilisé « plus de deux fois plus que son principal concurrent en 2023 ».

En novembre 2023, LockBit s’en est pris à la branche américaine de l’Industrial and Commercial Bank of China Financial Services (ICBC FS), l’une des plus grandes institutions financières au monde, ainsi qu’au géant américain de l’aéronautique Boeing.

En 2022, des hôpitaux en France et au Canada ont été ciblés, affectant leur activité et les obligeant parfois à transférer des patients vers d’autres établissements.

« Même si les développeurs de LockBit ont établi des règles stipulant que leur ransomware ne doit pas utilisé contre des infrastructures critiques, il est clair que leurs affiliés les ignorent », écrivait Stacey Cook, analyste de la société américaine de cybersécurité Dragos, dans un rapport publié en 2023.

« Les développeurs de LockBit ne semblent pas s’inquiéter outre-mesure de la responsabilité de leurs affiliés », poursuivait-il.