Publié dans DroitSécurité

15

L’infrastructure du rançongiciel LockBit a été saisie par les autorités

Saisie de l'infrastructure du rançongiciel LockBitNCA LockBit

Deux cybercriminels présumés ont été arrêtés en Pologne et en Ukraine à la demande des autorités judiciaires françaises dans le cadre de l'opération Cronos de démantèlement coordonné de l'infrastructure du rançongiciel LockBit, rapporte ComputerWeekly.

Menée dans 10 pays sous la direction de la National Crime Agency (NCA) du Royaume-Uni avec la participation du FBI et de 8 autres forces de l'ordre (dont l'Unité nationale cyber C3N du Commandement du Cyberespace de la Gendarmerie Nationale française), Cronos a permis la saisie de 34 serveurs de LockBit, le plus prolifique et le plus dangereux des groupes de cybercriminels, souligne Europol.

Son ransomware-as-a-service (RaaS) aurait ciblé plus de 2 000 victimes, reçu plus de 120 millions de dollars de rançon, et « causé des pertes de plusieurs milliards de livres, de dollars et d'euros, tant en termes de paiement de rançons que de coûts de récupération », précise la NCA.

« Grâce à notre étroite collaboration, nous avons piraté les pirates, pris le contrôle de leur infrastructure, saisi leur code source et obtenu les clés qui aideront les victimes à décrypter leurs systèmes », a déclaré Graeme Biggar, directeur général de la NCA.

Ces solutions sont mises à disposition gratuitement sur le portail « No More Ransom », disponible en 37 langues. Europol précise que « plus de 6 millions de victimes à travers le monde » y ont bénéficié de plus de 120 solutions capables de décrypter plus de 150 types différents de ransomwares.

Les autorités ont également gelé 200 comptes de crypto-monnaie liés au gang et saisi de « vastes » quantité de données, dont l'outil d'exfiltration sur mesure du gang, StealBit, utilisé pour voler des données. Plus de 14 000 comptes malveillants responsables d’exfiltrations ou d’infrastructures ont en outre été identifiés.

Le ministère américain de la justice (DoJ) a aussi révélé l'identité de deux membres du gang, Artur Sungatov, 34 ans, et Ivan Kondratyev (alias Bassterlord), 28 ans, tous deux de nationalité russe.

Leur inculpation porte à cinq le nombre total de personnes inculpées pour des activités liées à LockBit aux États-Unis, après les inculpations ouvertes au cours des 18 derniers mois contre trois autres ressortissants russes.

Mikhail Vasiliev a été arrêté au Canada et inculpé en 2022, et son extradition vers les États-Unis est en cours. Mikhail Pavlovich Matveev est toujours en fuite et sa tête est mise à prix pour 10 millions de dollars. Ruslan Magomedovich Astamirov est détenu aux États-Unis et attend son procès.

Numerama relève qu'à la manière dont Lockbit exposait ses victimes sur sa page d'accueil, les autorités ont « décidé d’afficher les hackers, les arrestations, les mandats d’arrêts, l’ampleur des dégâts causés au programme du groupe, ainsi que les saisies d’argent » sur le site saisi (cf la capture d'écran illustrant ce brief).

Les agents en ont même profité pour brocarder personnellement le chef du gang, qui « s’est récemment fait bannir des forums où trainent tous les cybercriminels russophones » : les forces de l’ordre ont en effet « exhibé tous ces bans » en plus d’ajouter un « rejeté de Lockbit ».

15

Tiens, en parlant de ça :

La Section 702 de la loi sur la surveillance du renseignement étranger (Foreign Intelligence Surveillance Act – FISA)

Aux USA, la surveillance des communications d’étrangers sans mandat (FISA) fait débat

Aller FISSA au Sénat

15:40 DroitSécu 2
logo apple en devanture de boutique

Apple autorise puis supprime un émulateur Game Boy sur iOS

Quel est ce phoque ?

14:09 Soft 15
Logo d'Android 14

Android 15 bêta : Wallet par défaut, sécurité des réseaux mobiles et Wi-Fi, bugs sur le NFC

Ce n’est PAS une révolution

11:15 Soft 6
15

Fermer

Commentaires (15)


Achievement unlocked

Bien jouer pour les forces de l'ordre. Cela ne doit vraiment pas être évident de démanteler un tel réseau.
Numerama relève qu'à la manière dont Lockbit exposait ses victimes sur sa page d'accueil, les autorités ont « décidé d’afficher les hackers, les arrestations, les mandats d’arrêts, l’ampleur des dégâts causés au programme du groupe, ainsi que les saisies d’argent » sur le site saisi (cf la capture d'écran illustrant ce brief).


J'ai un peu plus de mal avec ça, surtout provenant des autorités. Je sais qu'on n'est pas en France, mais cela veut dire que la police juge les personnes arrêtées comme étant coupable, avant même leur procès. Je ne suis pas certains que cela soit sain dans une démocratie, que le pouvoir exécutif s'octroie un pouvoir relevant du judiciaire.

Outre le problème d'assimiler inculpés et coupables, ca conforte aussi l'idée que tout ce qui est "crime cyber" n'est finalement pas si grave puisque même les autorités font de l'humour.

On imagine mal ce genre d'affichage rigolo pour des réseaux de prostitution ou terroriste.
Je crois que c'est une réponse au mur de la honte où ces malfrats affichaient les structures ayant refusé de payer.

Soriatane

Je crois que c'est une réponse au mur de la honte où ces malfrats affichaient les structures ayant refusé de payer.
Si les forces de police se comportent comme les malfrats, où va-t-on ?

fred42

Si les forces de police se comportent comme les malfrats, où va-t-on ?
Les autorités n'affichent pas les véritables identités des suspects mais, en s'inspirant de la façon qu'avait LockBit de faire pression sur les entreprises victimes de son RaaS pour qu'ils paient leurs rançons, place des compteurs à rebours au-dessus d'infos qu'ils n'ont pas encore rendues publiques mais s'apprêteraient à le faire.
Modifié le 21/02/2024 à 19h05

Historique des modifications :

Posté le 21/02/2024 à 19h04


Les autorités n'affichent pas les véritables identités des suspects mais, en s'inspirant de la façon qu'avait LockBit de faire pression sur les entreprises victimes de son RaaS pour qu'ils paient leurs rançons, place des compteurs à rebours au-dessus d'infos qu'ils n'ont pas encore rendues publiques mais s'apprêteraient à le faire.

Jean-Marc Manach

Les autorités n'affichent pas les véritables identités des suspects mais, en s'inspirant de la façon qu'avait LockBit de faire pression sur les entreprises victimes de son RaaS pour qu'ils paient leurs rançons, place des compteurs à rebours au-dessus d'infos qu'ils n'ont pas encore rendues publiques mais s'apprêteraient à le faire.
S'ils ne l'ont pas encore fait, c'est bien ce qu'ils prévoient de faire (lu sur gnt) :
Avant la fin de cette semaine, il est prévu de divulguer l'identité de LockBitSupp. " Qui est LockBitSupp ? La question à 10 millions de dollars. " Ce surnom est celui du personnage principal derrière l'essor de LockBit et la professionnalisation du groupe de ransomware.

et ce que laisse entendre la phrase citée par fdorin dans le premier commentaire.
Modifié le 21/02/2024 à 19h22

Historique des modifications :

Posté le 21/02/2024 à 19h21


S'ils ne l'ont pas encore fait, c'est bien ce qu'ils prévoient de faire (lu sur gnt) :

Avant la fin de cette semaine, il est prévu de divulguer l'identité de LockBitSupp. " Qui est LockBitSupp ? La question à 10 millions de dollars. " Ce surnom est celui du personnage principal derrière l'essor de LockBit et la professionnalisation du groupe de ransomware. et ce que laisse entendre la phrase citée par fdorin dans le premier commentaire.

comme toujours, c'est les états-unis, puissance absolue, qui joue les gendarmes du monde.
sidérant.
« Menée dans 10 pays sous la direction de la National Crime Agency (NCA) du Royaume-Uni avec la participation du FBI et de 8 autres forces de l'ordre (dont l'Unité nationale cyber C3N du Commandement du Cyberespace de la Gendarmerie Nationale française) »
Lire la news c'est bien aussi.

carbier

Lire la news c'est bien aussi.
Tout le monde ne sait pas lire de nos jours malheureusement.
Attention à la sémantique dans l'article : juridiquement, les données, ça ne se "vole" pas. Il y a accès frauduleux à des systèmes de traitement automatisé de données (STAD), et actions de copie illicite et conduisant à rendre inaccessibles les données en question. Voilà.
:cap:
Là, je pense que c'est juste pour reprendre le nom de l'outil en question StealBit, to steal voulant dire voler.
Je pense que si, la donnée se vole, comme on vole une histoire. La donnée est abstraite de son support, non ?
Par contre on ne vole pas le fichier, il est effectivement copié, comme on photocopie un livre.

mrintrepide

Je pense que si, la donnée se vole, comme on vole une histoire. La donnée est abstraite de son support, non ?
Par contre on ne vole pas le fichier, il est effectivement copié, comme on photocopie un livre.
Vous pouvez le penser, mais ce n'est pas exact en droit. :non:
Le vol, c'est la "soustraction frauduleuse de la chose d'autrui". La donnée n'est pas une "chose", c'est un bien immatériel, et celui qui recopie une donnée ne "soustrait" pas, mais "multiplie".
C'est pour cela qu'il y a des incriminations différentes, attachées à chaque catégorie de données protégée par son régime spécifique.
En droit d'auteur, on parlera de "contrefaçon", en droit des données à caractère personnel, de "violation", etc.

mrintrepide

Je pense que si, la donnée se vole, comme on vole une histoire. La donnée est abstraite de son support, non ?
Par contre on ne vole pas le fichier, il est effectivement copié, comme on photocopie un livre.
Qui plus est, les "histoires", ça n'est protégé par rien, et heureusement !
"Les idées sont de libre parcours", dit l'adage attribué à Henri Desbois (apocryphe)