Les forces de l’ordre ont arrêté deux opérateurs du gang de ransomwares LockBit en Pologne et en Ukraine, créé un outil de décryptage pour récupérer gratuitement des fichiers cryptés et saisi plus de 200 crypto-portefeuilles après avoir piraté les serveurs du gang de cybercriminalité lors d’une opération de répression internationale.
Les autorités judiciaires françaises et américaines ont également émis trois mandats d’arrêt internationaux et cinq actes d’accusation visant d’autres acteurs de la menace LockBit.
Deux des actes d’accusation ont été descellés par le département de la Justice des États-Unis contre deux ressortissants russes, Artur Sungatov et Ivan Gennadievich Kondratiev (alias Bassterlord), pour leur implication dans des attaques de LockBit.
Les accusations précédentes contre les acteurs du ransomware Lockbit incluent Mikhail Vasiliev (novembre 2022), Ruslan Magomedovich Astamirov (juin 2023), Mikhail Pavlovich Matveev alias Wazawaka (mai 2023)
Opération Cronos
La répression mondiale de LockBit a été coordonnée par l’Opération Cronos, un groupe de travail dirigé par la National Crime Agency (NCA) du Royaume-Uni et coordonné en Europe par Europol et Eurojust. L’enquête a débuté en avril 2022 à Eurojust, à la suite d’une demande des autorités françaises.
« L’opération qui a duré des mois a abouti à la compromission de la plate-forme principale de LockBit et d’autres infrastructures critiques qui ont permis leur entreprise criminelle », a déclaré Europol aujourd’hui.
« Cela inclut le retrait de 34 serveurs aux Pays-Bas, en Allemagne, en Finlande, en France, en Suisse, en Australie, aux États-Unis et au Royaume-Uni.
« Cette infrastructure est désormais sous le contrôle des forces de l’ordre, et plus de 14 000 comptes voyous responsables de l’exfiltration ou de l’infrastructure ont été identifiés et renvoyés pour suppression par les forces de l’ordre. »
Europol a déclaré à Breachtrace que ces comptes malveillants étaient utilisés par les membres de LockBit pour héberger des outils et des logiciels utilisés dans des attaques et pour stocker des données volées à des entreprises.
Dans le cadre de l’opération Cronos, les forces de l’ordre ont également récupéré plus de 1 000 clés de déchiffrement sur les serveurs LockBit saisis. À l’aide de ces clés de déchiffrement, la police japonaise, la NCA et le Federal Bureau of Investigation (FBI) ont développé un outil de déchiffrement du Ransomware LockBit 3.0 Black avec le soutien d’Europol.
Ce décrypteur gratuit est maintenant disponible via le portail « Plus de rançon ». Breachtrace a contacté Europol pour savoir si le déchiffreur n’aide les victimes de LockBit qu’après une certaine date, mais aucune réponse n’était immédiatement disponible.
À l’heure actuelle, on ignore combien de crypto-monnaie était stockée dans les 200 portefeuilles saisis. Cependant, il peut être possible pour les victimes qui ont payé des demandes de rançon de récupérer certains de leurs paiements de ransomware maintenant, comme le FBI l’a déjà fait pour Colonial Pipeline et diverses organisations de soins de santé.
Europol dit avoir rassemblé une « grande quantité » de données sur l’opération LockBit, qui seront utilisées dans les opérations en cours ciblant les dirigeants du groupe, ainsi que ses développeurs et affiliés.
Infrastructure de cadenas saisie
Dans le cadre de cette action conjointe, la NCA a pris le contrôle des serveurs LockBit utilisés pour héberger les données volées aux réseaux des victimes lors de doubles attaques d’extorsion et des sites de fuite du dark Web du gang.
Les sites Web sombres de LockBit ont été supprimés hier, montrant des bannières de saisie qui révélaient que la perturbation résultait d’une action internationale en cours d’application de la loi.
Le panneau d’affiliation du groupe de ransomwares a également été saisi par la police, affichant désormais un message aux affiliés après leur connexion indiquant que leurs informations, le code source de LockBit, les discussions et les informations sur les victimes ont également été saisis.
« Nous avons le code source, les détails des victimes que vous avez attaquées, le montant d’argent extorqué,les données volées, les discussions et bien plus encore », indique le message.
« Nous pourrions être en contact avec vous très bientôt. Passe une bonne journée. Cordialement, l’Agence Nationale de la criminalité du Royaume-Uni, le FBI, Europol et le Groupe de travail sur l’application de la loi de l’Opération Cronos. »
Qui est LockBit?
L’opération LockBit ransomware-as-a-service (RaaS) a fait surface en septembre 2019 et a depuis été liée ou a revendiqué des attaques contre de nombreuses organisations de premier plan dans le monde entier, notamment Boeing, la Royal Mail britannique, le géant Continental de l’automobile et l’Internal Revenue Service italien.
Dans un avis conjoint publié en juin, les autorités américaines de cybersécurité et leurs partenaires du monde entier ont estimé que LockBit avait extorqué au moins 91 millions de dollars à des organisations américaines après pas moins de 1 700 attaques depuis 2020.
Aujourd’hui, le département américain de la Justice a déclaré que le gang avait plus de victimes 2,000 et avait collecté plus de millions de dollars 120 en paiements de rançon après des demandes totalisant des centaines de millions de dollars.
Plus récemment, Bank of America a averti ses clients d’une violation de données après que le fournisseur de services tiers Infosys McCamish Systems (IMS) a été piraté lors d’une attaque revendiquée par LockBit.
Ces dernières années, des opérations internationales d’application de la loi ont également conduit à la saisie de serveurs et de sites Web sombres utilisés par ALPHV (BlackCat) et Hive ransomware.