Une série d’arrestations liées à la lutte contre le groupe de ransomware LockBit continue de faire la une. Quatre nouveaux suspects ont été appréhendés, dont l’un en vacances à l’étranger. Cette opération internationale témoigne des efforts croissants des autorités pour déstabiliser cette organisation criminelle.
Que s’est-il passé récemment ? Une opération internationale de maintien de l’ordre, qui a permis de démanteler le gang de ransomware LockBit en début d’année, continue d’engendrer des arrestations. Les autorités ont annoncé l’arrestation de quatre nouveaux suspects, dont un membre du groupe arrêté alors qu’il était en vacances en dehors de la Russie.
Europol, l’agence de maintien de l’ordre de l’Union Européenne, a indiqué qu’elle avait soutenu une nouvelle série d’actions contre les membres de LockBit, ce qui a conduit à ces quatre arrestations et à la saisie de serveurs essentiels à l’infrastructure du groupe.
Les criminels de ransomware en Russie échappent souvent aux arrestations car les autorités locales tendent à ignorer leurs actions tant qu’ils n’attaquent pas des organisations situées dans le pays. Cependant, l’un des arrêtés, un développeur de LockBit, avait choisi de partir en vacances en août dans un territoire ayant un accord d’extradition avec la France. La Gendarmerie française a été alertée, ce qui a abouti à son arrestation. L’individu et le pays où il a été appréhendé n’ont pas été révélés.
En août, deux autres personnes ont également été arrêtées au Royaume-Uni en lien avec cette opération. L’une d’elles serait associée à un affilié de LockBit, tandis que l’autre est soupçonnée de blanchiment d’argent. L’Agence nationale de criminalité britannique les a identifiés grâce aux données saisies lors de l’importante opération contre LockBit en février.
La dernière arrestation a eu lieu à l’aéroport de Madrid, où la Guardia Civil espagnole a interpellé un administrateur d’un service d’hébergement « bulletproof » utilisé par le groupe de ransomware. Ces entreprises d’hébergement proposent des services délibérément conçus pour résister aux demandes de démantèlement, à l’intervention des forces de l’ordre ou à d’autres formes d’ingérence. Elles sont souvent liées à des activités criminelles car elles permettent ou tolèrent l’hébergement de contenus illégaux.
Les agents espagnols ont également saisi neuf serveurs, parte de l’infrastructure du ransomware.
Par ailleurs, l’Australie, le Royaume-Uni et les États-Unis ont mis en place des sanctions contre un acteur identifié comme un affilié prolifique de LockBit, fortement lié au groupe de ransomware Evil Corp.
16 membres d’Evil Corp, autrefois considérés comme la plus grande menace de cybercriminalité au monde, ont été sanctionnés au Royaume-Uni, leurs liens avec l’État russe et d’autres groupes de ransomware, dont LockBit, étant exposés. Des sanctions ont également été imposées par l’Australie et les États-Unis.
– National Crime Agency (NCA) (@NCA_UK) 1er octobre 2024
Le ransomware LockBit-as-a-service est à l’origine de plus de 1 700 attaques contre des organisations aux États-Unis, touchant pratiquement tous les secteurs, du gouvernement et de la finance aux transports, à la santé et à l’éducation.
L’opération multinational de cette année, nommée Cronos, a permis la saisie du site web de LockBit et le démantèlement de leurs opérations. Les enquêteurs ont également saisi 34 serveurs contenant plus de 2 500 clés de déchiffrement et ont utilisé les données recueillies sur ces serveurs pour développer un outil gratuit de déchiffrement pour le ransomware LockBit 3.0 Black.