Le groupe de hackers LockBit, responsable d’au moins 1700 attaques depuis 2020, a été visé par une opération policière coordonnée de 11 pays, dont la France. Grâce à cette intervention, le site principal du groupe est désormais hors ligne.
Europol qualifie LockBit de « groupe de rançongiciel le plus prolifique et le plus dangereux au monde ». Repéré pour la première fois en 2019, ce groupe de hackers russophones aurait perçu environ 91 millions de dollars de rançons. Son site principal a été démantelé dans le cadre de l’opération Cronos, menée par les forces de l’ordre de 11 pays, dont le Royaume-Uni, les États-Unis, le Japon, l’Allemagne et la France.
L’agence britannique de lutte contre la criminalité organisée (NCA), en coopération avec Europol, le FBI américain et d’autres agences internationales, a pris le contrôle du site de LockBit. En France, le groupe avait notamment ciblé l’hôpital de Corbeil-Essonnes en 2022 et réclamé une rançon d’1 million de dollars. Parmi les autres victimes figuraient La Poste Mobile, le département du Loiret et une branche du groupe Thalès.
Deux membres du groupe ont été arrêtés en Pologne et en Ukraine, à la demande des autorités judiciaires françaises. Les autorités françaises et américaines ont émis trois mandats d’arrêt internationaux et cinq actes d’accusation, inculpant notamment les ressortissants russes Artur Sungatov et Ivan Kondratyev, alias « Bassterlord ». Plus de 200 portefeuilles de cryptomonnaies liés à LockBit ont été gelés et 14 000 comptes « non autorisés » ont été fermés.
Les autorités britanniques annoncent avoir obtenu le code source de la plateforme LockBit, ainsi que de nombreux renseignements sur le groupe. Elles affirment également avoir pris le contrôle du logiciel permettant aux affiliés de LockBit de mener leurs attaques. Sur leur site principal, les hackers publiaient les noms de leurs victimes, le montant des rançons et les données dérobées.
LockBit est spécialisé dans les attaques par ransomware. Le groupe infiltrait les systèmes, chiffrait et bloquait les données, puis exigeait une rançon pour ne pas les divulguer. En cas de non-paiement, les fichiers étaient mis en ligne ou revendus. En novembre 2022, le ministère américain de la Justice avait qualifié LockBit de rançongiciel « le plus actif et le plus destructeur des variants dans le monde ». En France, le groupe était à l’origine de 27 % des demandes de rançons en 2022 et 2023, avec 69 piratages attribués à lui par l’Agence nationale de la sécurité des systèmes d’information (Anssi).
LockBit ciblait principalement les infrastructures critiques et les grands groupes industriels, demandant des rançons allant de 5 à 70 millions d’euros. Le groupe avait notamment attaqué la Royal Mail, l’équipementier automobile Continental, l’administration de Californie et la chaîne de sandwichs Subway.
Malgré cette opération policière, il est important de rester prudent. Les spécialistes de logiciels malveillants notent que les forces de l’ordre ont seulement saisi ou détruit au minimum 22 sites liés à LockBit. De plus, les hackers peuvent rapidement réapparaître, et certains pirates résident en Russie, hors de portée des forces de police. D’autres sont des hackers affiliés, plus difficiles à identifier, qui utilisent les logiciels de LockBit en reversant un pourcentage des rançons obtenues.
LockBit est devenu une véritable entreprise du crime, avec ses administrateurs, ses hackers qui louent le logiciel, ainsi que des services de négociation et de communication. Les autorités ont recueilli une grande quantité de données lors de cette enquête, ce qui permettra de poursuivre les membres du groupe.
Pour aider les victimes de LockBit, les autorités ont mis à disposition des outils de déchiffrage pour récupérer les données corrompues par les attaques. Ces outils sont disponibles sur le portail « No More Ransom ».
L’opération policière internationale a porté un coup dur au groupe de hackers LockBit, considéré comme le plus nuisible au monde. Cependant, il est essentiel de rester vigilant face à la résurgence possible de ce groupe et à l’activité d’autres hackers affiliés. Les autorités continuent de lutter contre la cybercriminalité et de mettre à disposition des outils pour aider les victimes.
LockBit : une opération internationale frappe le groupe de hackers
