Le 20 octobre 2023, Interpol Europe a annoncé qu’il avait démantelé le groupe de ransomwares Ragnar Locker lors d’une action coordonnée des forces de l’ordre internationales. L’opération a été menée par Eurojust et Europol en collaboration avec des agents des forces de l’ordre de la France, des États-Unis et du Japon. Les sites de négociation de Tor et de fuite de données du groupe ont été fermés et remplacés par un test indiquant que les sites avaient été saisis.
Arrestation de membres clés
Dans le cadre de l’opération, une « cible clé » présumée liée au groupe de ransomwares Ragnar Locker a été arrêtée à Paris le 18 octobre. Le rapport sur Europa, un média officiel de l’UE, affirme que le développeur du ransomware a également été arrêté. Les arrestations ont été rendues possibles grâce à la coopération internationale entre les forces de l’ordre.
On pense que le groupe a mené de multiples attaques contre des infrastructures tests dans le monde entier. Cela inclut une cyberattaque contre Capcom en 2020. Du 16 au 20 octobre, la police criminelle a mené des opérations de perquisition en République tchèque, en France et en Lettonie.
Le « chef principal » de ce rançongiciel malveillant a été arrêté à Paris, en France, le 16 octobre. Son domicile en République tchèque a également été perquisitionné. Au cours des prochains jours, cinq suspects ont été interrogés en France et en Lettonie. À la fin de la semaine d’action, les présumés meneurs du groupe Ragnar ont été présentés au magistrat instructeur du tribunal de justice de Paris.
L’infrastructure du rançongiciel a également été saisie aux Pays-Bas, en Allemagne et en Suède. De plus, le site Web de fuite de données associé sur Tor a été fermé en Suède.
Impact sur le groupe
Bien que le démantèlement de l’infrastructure du groupe soit un coup dur, cela pourrait ne pas suffire à démanteler complètement le groupe. Le groupe pourrait être en mesure de rapidement mettre en place d’autres serveurs pour remplacer ceux qui ont été saisis. De plus, la fermeture de l’infrastructure du groupe pourrait causer des problèmes aux organisations qui ont été touchées par une attaque de ransomware et qui ont perdu un moyen de négocier avec le groupe.
Ragnar Locker est actif depuis décembre 2019. Il cible les appareils fonctionnant sous Windows et utilise généralement des services exposés tels que le protocole de bureau à distance pour accéder au système. Le groupe Ragnar Locker utilise une double stratégie de chantage. Il demande le paiement d’outils de décryptage et exige que les données sensibles volées ne soient pas rendues publiques.
Attaques précédentes
Ragnar Locker a été lié à diverses attaques par le passé. Cela inclut des attaques contre le centre médical Mayanei Hayeshua à Bnei Brak et les systèmes de TAP Air Portugal. Le groupe est connu pour se concentrer sur le secteur de l’énergie.
Étant donné la propension de Ragnar Locker à attaquer les infrastructures tests, le niveau de menace du groupe est considéré comme élevé. Le groupe met fermement en garde toutes ses victimes de ne pas contacter les forces de l’ordre et menace de publier toutes les données volées si cela se produit. En réalité, les victimes sont également averties de ne pas chercher d’aide sur le site de fuite « Mur de la honte » de son dark web.
Le gang de ransomware Ragnar Locker a annoncé sur son site caché :
« Tout ce que le FBI/les négociateurs/investigateurs des rançongiciels font, c’est compliquer les choses, donc nous allons publier vos informations si vous demandez de l’aide »
Le chef du Centre européen de lutte contre la cybercriminalité d’Europol, Edvardas Šileris, a déclaré :
Cette enquête démontre une fois de plus que la coopération internationale est la clé pour neutraliser les groupes de rançongiciels. La prévention et la sécurité s’améliorent, cependant les opérateurs de rançongiciels continuent d’innover et de trouver de nouvelles victimes. Europol jouera son rôle en soutenant les États membres de l’UE dans leur lutte contre ces groupes, et chaque affaire nous aide à améliorer nos modes d’enquête et notre compréhension de ces groupes. J’espère que cette série d’arrestations envoie un message fort aux opérateurs de rançongiciels qui pensent pouvoir continuer leurs attaques sans conséquences.
Arrestations précédentes
En octobre 2021, des officiers de la France et du FBI des États-Unis, ainsi que des experts d’Europol et d’Interpol, ont été envoyés en Ukraine. Ils ont mené une enquête conjointe avec la police nationale ukrainienne. L’enquête a abouti à l’arrestation de deux opérateurs seniors de Ragnar Locker.
Depuis lors, l’enquête s’est poursuivie, aboutissant aux arrestations et aux perturbations de cette semaine. Europol a soutenu l’enquête dès le départ, réunissant toutes les nations concernées pour développer une approche commune.
Ses experts en cybercriminalité ont organisé 15 réunions de coordination et deux sprints d’une semaine pour préparer les étapes actuelles. Ceci s’ajoute à une assistance analytique, en matière de logiciels malveillants, de médecine légale et de traçage de crypto-monnaies. Europol a formé un poste de commandement virtuel la semaine dernière pour permettre une coopération fluide entre toutes les entités impliquées.
Le démantèlement du groupe de ransomwares Ragnar Locker souligne l’importance de la coopération internationale dans la lutte contre la cybercriminalité. L’opération a impliqué des agents des forces de l’ordre de plusieurs pays travaillant ensemble pour démanteler l’infrastructure du groupe et arrêter des membres clés.
Notre avis
Ragnar Locker a commencé ses opérations à la fin de 2019, ce qui en réalité un groupe de ransomwares inhabituellement longévif. Le groupe était connu pour se concentrer sur le secteur de l’énergie et avait été lié à diverses attaques. Cela inclut lorsqu’il a visé le centre médical Mayanei Hayeshua à Bnei Brak cet été. Le groupe a également ciblé les systèmes de TAP Air Portugal et prétendu avoir volé des données. En 2022, le FBI a publié une alerte rapide pour avertir que le gang de ransomwares Ragnar Locker avait infiltré les réseaux d’au moins 52 organisations dans 10 secteurs tests d’infrastructures.
Ce démantèlement est une victoire significative pour les forces de l’ordre. Cependant, cela pourrait n’être qu’un inconvénient pour le groupe Ragnar s’ils parviennent à rapidement mettre en place d’autres serveurs pour les remplacer. De plus, cela pourrait causer des problèmes aux personnes dont les organisations ont été touchées par une attaque de ransomware. En effet, elles ont maintenant perdu un moyen de négocier avec les acteurs malveillants. Néanmoins, cette enquête montre que la coopération internationale peut contribuer à neutraliser les groupes de ransomwares.