Saisie de l'infrastructure du rançongiciel LockBitNCA LockBit

L’infrastructure du rançongiciel LockBit a été saisie par les autorités

Par Vincent Hermann

Le 21 Février 2024 à 07h16
Droit
3 min 15

Saisie de l'infrastructure du rançongiciel LockBitNCA LockBit

Deux cybercriminels présumés ont été arrêtés en Pologne et en Ukraine à la demande des autorités judiciaires françaises dans le cadre de l'opération Cronos de démantèlement coordonné de l'infrastructure du rançongiciel LockBit, rapporte ComputerWeekly.

Menée dans 10 pays sous la direction de la National Crime Agency (NCA) du Royaume-Uni avec la participation du FBI et de 8 autres forces de l'ordre (dont l'Unité nationale cyber C3N du Commandement du Cyberespace de la Gendarmerie Nationale française), Cronos a permis la saisie de 34 serveurs de LockBit, le plus prolifique et le plus dangereux des groupes de cybercriminels, souligne Europol.

Son ransomware-as-a-service (RaaS) aurait ciblé plus de 2 000 victimes, reçu plus de 120 millions de dollars de rançon, et « causé des pertes de plusieurs milliards de livres, de dollars et d'euros, tant en termes de paiement de rançons que de coûts de récupération », précise la NCA.

« Grâce à notre étroite collaboration, nous avons piraté les pirates, pris le contrôle de leur infrastructure, saisi leur code source et obtenu les clés qui aideront les victimes à décrypter leurs systèmes », a déclaré Graeme Biggar, directeur général de la NCA.

Ces solutions sont mises à disposition gratuitement sur le portail « No More Ransom », disponible en 37 langues. Europol précise que « plus de 6 millions de victimes à travers le monde » y ont bénéficié de plus de 120 solutions capables de décrypter plus de 150 types différents de ransomwares.

Les autorités ont également gelé 200 comptes de crypto-monnaie liés au gang et saisi de « vastes » quantité de données, dont l'outil d'exfiltration sur mesure du gang, StealBit, utilisé pour voler des données. Plus de 14 000 comptes malveillants responsables d’exfiltrations ou d’infrastructures ont en outre été identifiés.

Le ministère américain de la justice (DoJ) a aussi révélé l'identité de deux membres du gang, Artur Sungatov, 34 ans, et Ivan Kondratyev (alias Bassterlord), 28 ans, tous deux de nationalité russe.

Leur inculpation porte à cinq le nombre total de personnes inculpées pour des activités liées à LockBit aux États-Unis, après les inculpations ouvertes au cours des 18 derniers mois contre trois autres ressortissants russes.

Mikhail Vasiliev a été arrêté au Canada et inculpé en 2022, et son extradition vers les États-Unis est en cours. Mikhail Pavlovich Matveev est toujours en fuite et sa tête est mise à prix pour 10 millions de dollars. Ruslan Magomedovich Astamirov est détenu aux États-Unis et attend son procès.

Numerama relève qu'à la manière dont Lockbit exposait ses victimes sur sa page d'accueil, les autorités ont « décidé d’afficher les hackers, les arrestations, les mandats d’arrêts, l’ampleur des dégâts causés au programme du groupe, ainsi que les saisies d’argent » sur le site saisi (cf la capture d'écran illustrant ce brief).

Les agents en ont même profité pour brocarder personnellement le chef du gang, qui « s’est récemment fait bannir des forums où trainent tous les cybercriminels russophones » : les forces de l’ordre ont en effet « exhibé tous ces bans » en plus d’ajouter un « rejeté de Lockbit ».

Commentaires (15)


fdorin Abonné
Le 21/02/2024 à 07h59
Achievement unlocked

Bien jouer pour les forces de l'ordre. Cela ne doit vraiment pas être évident de démanteler un tel réseau.
Numerama relève qu'à la manière dont Lockbit exposait ses victimes sur sa page d'accueil, les autorités ont « décidé d’afficher les hackers, les arrestations, les mandats d’arrêts, l’ampleur des dégâts causés au programme du groupe, ainsi que les saisies d’argent » sur le site saisi (cf la capture d'écran illustrant ce brief).


J'ai un peu plus de mal avec ça, surtout provenant des autorités. Je sais qu'on n'est pas en France, mais cela veut dire que la police juge les personnes arrêtées comme étant coupable, avant même leur procès. Je ne suis pas certains que cela soit sain dans une démocratie, que le pouvoir exécutif s'octroie un pouvoir relevant du judiciaire.

127.0.0.1
Le 21/02/2024 à 08h47
Outre le problème d'assimiler inculpés et coupables, ca conforte aussi l'idée que tout ce qui est "crime cyber" n'est finalement pas si grave puisque même les autorités font de l'humour.

On imagine mal ce genre d'affichage rigolo pour des réseaux de prostitution ou terroriste.
Soriatane Abonné
Le 21/02/2024 à 11h56
Je crois que c'est une réponse au mur de la honte où ces malfrats affichaient les structures ayant refusé de payer.
fred42 Abonné
Le 21/02/2024 à 12h52

Soriatane

Je crois que c'est une réponse au mur de la honte où ces malfrats affichaient les structures ayant refusé de payer.
Si les forces de police se comportent comme les malfrats, où va-t-on ?
Jean-Marc Manach Équipe
Le 21/02/2024 à 19h04

fred42

Si les forces de police se comportent comme les malfrats, où va-t-on ?
Les autorités n'affichent pas les véritables identités des suspects mais, en s'inspirant de la façon qu'avait LockBit de faire pression sur les entreprises victimes de son RaaS pour qu'ils paient leurs rançons, place des compteurs à rebours au-dessus d'infos qu'ils n'ont pas encore rendues publiques mais s'apprêteraient à le faire.
Modifié le 21/02/2024 à 19h05

Historique des modifications :

Posté le 21/02/2024 à 19h04


Les autorités n'affichent pas les véritables identités des suspects mais, en s'inspirant de la façon qu'avait LockBit de faire pression sur les entreprises victimes de son RaaS pour qu'ils paient leurs rançons, place des compteurs à rebours au-dessus d'infos qu'ils n'ont pas encore rendues publiques mais s'apprêteraient à le faire.

fred42 Abonné
Le 21/02/2024 à 19h21

Jean-Marc Manach

Les autorités n'affichent pas les véritables identités des suspects mais, en s'inspirant de la façon qu'avait LockBit de faire pression sur les entreprises victimes de son RaaS pour qu'ils paient leurs rançons, place des compteurs à rebours au-dessus d'infos qu'ils n'ont pas encore rendues publiques mais s'apprêteraient à le faire.
S'ils ne l'ont pas encore fait, c'est bien ce qu'ils prévoient de faire (lu sur gnt) :
Avant la fin de cette semaine, il est prévu de divulguer l'identité de LockBitSupp. " Qui est LockBitSupp ? La question à 10 millions de dollars. " Ce surnom est celui du personnage principal derrière l'essor de LockBit et la professionnalisation du groupe de ransomware.

et ce que laisse entendre la phrase citée par fdorin dans le premier commentaire.
Modifié le 21/02/2024 à 19h22

Historique des modifications :

Posté le 21/02/2024 à 19h21


S'ils ne l'ont pas encore fait, c'est bien ce qu'ils prévoient de faire (lu sur gnt) :

Avant la fin de cette semaine, il est prévu de divulguer l'identité de LockBitSupp. " Qui est LockBitSupp ? La question à 10 millions de dollars. " Ce surnom est celui du personnage principal derrière l'essor de LockBit et la professionnalisation du groupe de ransomware. et ce que laisse entendre la phrase citée par fdorin dans le premier commentaire.

::1
Le 21/02/2024 à 08h07
comme toujours, c'est les états-unis, puissance absolue, qui joue les gendarmes du monde.
sidérant.
serpolet Abonné
Le 21/02/2024 à 08h22
« Menée dans 10 pays sous la direction de la National Crime Agency (NCA) du Royaume-Uni avec la participation du FBI et de 8 autres forces de l'ordre (dont l'Unité nationale cyber C3N du Commandement du Cyberespace de la Gendarmerie Nationale française) »
carbier Abonné
Le 21/02/2024 à 08h26
Lire la news c'est bien aussi.
Freeben666 Abonné
Le 21/02/2024 à 11h25

carbier

Lire la news c'est bien aussi.
Tout le monde ne sait pas lire de nos jours malheureusement.
f_p_ Abonné
Le 21/02/2024 à 18h36
Attention à la sémantique dans l'article : juridiquement, les données, ça ne se "vole" pas. Il y a accès frauduleux à des systèmes de traitement automatisé de données (STAD), et actions de copie illicite et conduisant à rendre inaccessibles les données en question. Voilà.
:cap:
fred42 Abonné
Le 21/02/2024 à 18h40
Là, je pense que c'est juste pour reprendre le nom de l'outil en question StealBit, to steal voulant dire voler.
mrintrepide Abonné
Le 21/02/2024 à 23h01
Je pense que si, la donnée se vole, comme on vole une histoire. La donnée est abstraite de son support, non ?
Par contre on ne vole pas le fichier, il est effectivement copié, comme on photocopie un livre.
f_p_ Abonné
Le 02/03/2024 à 16h40

mrintrepide

Je pense que si, la donnée se vole, comme on vole une histoire. La donnée est abstraite de son support, non ?
Par contre on ne vole pas le fichier, il est effectivement copié, comme on photocopie un livre.
Vous pouvez le penser, mais ce n'est pas exact en droit. :non:
Le vol, c'est la "soustraction frauduleuse de la chose d'autrui". La donnée n'est pas une "chose", c'est un bien immatériel, et celui qui recopie une donnée ne "soustrait" pas, mais "multiplie".
C'est pour cela qu'il y a des incriminations différentes, attachées à chaque catégorie de données protégée par son régime spécifique.
En droit d'auteur, on parlera de "contrefaçon", en droit des données à caractère personnel, de "violation", etc.
f_p_ Abonné
Le 02/03/2024 à 16h41

mrintrepide

Je pense que si, la donnée se vole, comme on vole une histoire. La donnée est abstraite de son support, non ?
Par contre on ne vole pas le fichier, il est effectivement copié, comme on photocopie un livre.
Qui plus est, les "histoires", ça n'est protégé par rien, et heureusement !
"Les idées sont de libre parcours", dit l'adage attribué à Henri Desbois (apocryphe)
Fermer