Le FBI, la National Crime Agency du Royaume-Uni et Europol ont dévoilé de vastes actes d’accusation et sanctions contre l’administrateur de l’opération de ransomware LockBit, avec l’identité de l’acteur de la menace russe révélée pour la première fois.

Selon un nouvel acte d’accusation du ministère américain de la Justice et un communiqué de presse de la NCA, l’opérateur de ransomware LockBit connu sous le nom de « LockBitSupp » et « putinkrab » a été confirmé être un ressortissant russe nommé Dmitry Yuryevich Khoroshev, 31 ans, de Voronej, Russie, qui aurait gagné 100 millions de dollars dans le cadre des activités du gang.

« Les sanctions contre le ressortissant russe Dmitry Khoroshev (photo), l’administrateur et développeur du groupe de ransomwares LockBit, sont annoncées aujourd’hui par le FCDO aux côtés de l’Office of Foreign Assets Control (OFAC) du Département américain du Trésor et du Ministère australien des Affaires étrangères », a annoncé la National Crime Agency.

« Khoroshev, ALIAS LockBitSupp, qui a prospéré grâce à l’anonymat et a offert une récompense de 10 millions de dollars à quiconque pourrait révéler son identité, sera désormais soumis à une série de gels d’avoirs et d’interdictions de voyager. »

Les annonces d’aujourd’hui incluent également des sanctions contre Khoroshev, notamment des gels d’avoirs et des interdictions de voyager.

« L’administrateur et développeur de LockBit, de nationalité russe, est désormais soumis à une série de gels d’avoirs et d’interdictions de voyager émis par le Foreign, Commonwealth and Development Office du Royaume-Uni, aux côtés de l’Office of Foreign Assets Control (OFAC) du Département américain du Trésor et le Ministère australien des Affaires étrangères et du Commerce », lit-on dans un communiqué d’Europol.

Ces sanctions entraîneront des perturbations massives de l’opération de ransomware, car le paiement d’une rançon pourrait potentiellement enfreindre les sanctions et imposer des amendes gouvernementales aux entreprises.

Dans le passé, des sanctions similaires ont amené certains négociateurs de ransomwares à ne plus aider au paiement des rançons pour les opérations de ransomware sanctionnées.

Les États-Unis offrent également une récompense de 10 millions de dollars pour toute information menant à l’arrestation et/ou à la condamnation de LockBitSupp dans le cadre du programme Rewards for Justice.

Les forces de l’ordre ont également annoncé que son piratage et la saisie de l’infrastructure LockBit leur avaient permis d’obtenir plus de clés de déchiffrement qu’annoncé précédemment.

Cinq autres membres de LockBit ont été inculpés par le gouvernement américain, dont Artur Sungatov, Ivan Kondratyev (Bassterlord), Ruslan Magomedovich Astamirov, Mikhail Matveev (Wazawaka) et Mikhail Vasiliev.

Mikhail Vasiliev a déjà été arrêté et condamné à quatre ans de prison, tandis que Ruslan Astamirov est en détention dans l’attente de son procès.

L’ascension et la chute de LockBit
L’opération de ransomware en tant que service (Raas) LockBit a été lancée en septembre 2019, s’appelant d’abord « ABCD », puis rebaptisée LockBit.

L’opération de cybercriminalité a développé et maintenu les sites de négociation et de fuite de données encryptor et Tor et a recruté des affiliés, ou « publicités », pour pirater les réseaux d’entreprise, voler des données et crypter des appareils.

Dans le cadre de cet arrangement, les opérateurs de cadenas gagnaient environ 20% des paiements de rançon, l’affilié gardant le reste.

L’opération est dirigée par l’opérateur très public connu sous le nom de LockBitSupp, maintenant connu pour être Khoroshev, qui fréquentait les forums de piratage russophones et se délectait de parler aux journalistes et aux chercheurs de son entreprise criminelle.

Alors qu’il prétendait à l’origine opérer depuis la Chine, les révélations d’aujourd’hui ne sont pas surprenantes d’apprendre que LockBitSupp est un ressortissant russe.

LockBit est rapidement devenu l’opération de ransomware la plus importante et la plus active, avec un flux constant de nouvelles victimes annoncées par le site de fuite de données du gang et 194 affiliés jusqu’en février 2024.

Cependant, en février, le gang de ransomwares a subi une perturbation majeure après qu’une action des forces de l’ordre connue sous le nom d ‘ »Opération Cronos » a démantelé l’infrastructure de LockBit, y compris les serveurs 34 hébergeant le site Web de fuite de données, ses miroirs et le panneau d’affiliation. L’action a également permis aux forces de l’ordre de récupérer des données volées aux victimes, des adresses de crypto-monnaie, des clés de déchiffrement et une foule d’autres informations sur le gang.

Alors que les forces de l’ordre avaient initialement déclaré avoir pu obtenir 1 000 clés de déchiffrement dans le cadre de l’opération Cronos, l’annonce d’aujourd’hui révèle qu’elles ont pu obtenir 1 500 clés de déchiffrement supplémentaires et continuent d’aider les victimes de LockBit à récupérer leurs fichiers gratuitement.

En analysant les données saisies, la National Crime Agency du Royaume-Uni a déclaré que LockBit était responsable de l’extorsion d’un milliard de dollars à des milliers d’entreprises dans le monde, le ministère de la JUSTICE affirmant que Khoroshev et ses affiliés avaient extorqué plus de 500 millions de dollars en rançons.

Entre juin 2022 et février 2024, les forces de l’ordre affirment que l’opération de ransomware a mené plus de 7 000 attaques, les cinq principaux pays touchés étant les États-Unis, le Royaume-Uni, la France, l’Allemagne et la Chine.

LockBit continue de fonctionner aujourd’hui, ciblant de nouvelles victimes et publiant récemment une quantité massive de données anciennes et nouvelles. Cependant, la NCA rapporte que l’opération Cronos a entraîné un exode massif d’affiliés, faisant passer le nombre de membres actifs de 194 à 69, les acteurs de la menace ayant perdu confiance dans le leadership.

Alors que LockBitSupp tentera probablement de riposter contre les autorités américaines et britanniques en divulguant des données plus sensibles volées aux victimes, il s’agit probablement d’un dernier souffle d’air alors que le ransomware entre dans ses derniers jours.

Depuis 2012, lorsque le premier ransomware moderne connu sous le nom d’ACCDFISA a commencé à chiffrer les victimes, suivi du tristement célèbre CryptoLocker, il y a eu une rotation constante des mêmes acteurs de la menace opérant sous différents noms de ransomware.

Bien que ces mesures d’application de la loi puissent entraîner la fermeture de l’opération de ransomware LockBit, nous verrons probablement les mêmes acteurs de la menace poursuivre leur activité sous un nouveau nom à l’avenir.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *