Une opération internationale des forces de l’ordre de dix pays baptisée « Cronos » a mis à mal l’activité de l’organisation qui pilote le ransomware LockBit. LockBit est une variante de ransomware la plus déployée et particulièrement malveillante dans le monde, causant des dégâts considérables dans les entreprises et les services publics.
Trente quatre serveurs démantelés
La plateforme principale de LockBit et d’autres infrastructures critiques ont été compromises. Cela inclut le démantèlement de 34 serveurs aux Pays-Bas, en Allemagne, en Finlande, en France, en Suisse, en Australie, aux États-Unis et au Royaume-Uni. Par ailleurs, deux personnes intervenant pour LockBit ont été arrêtées en Pologne et en Ukraine à la demande des autorités judiciaires françaises.
Trois mandats d’arrêt internationaux et cinq actes d’accusation ont été émis
La National Crime Agency du Royaume-Uni a désormais pris le contrôle de l’infrastructure technique qui permet à tous les éléments du service LockBit de fonctionner, ainsi que de son site de fuite sur le dark web, sur lequel LockBit hébergeait les données volées aux victimes lors d’attaques de ransomware.
Une enquête menée par la National Crime Agency du Royaume-Uni
Cette opération internationale fait suite à une enquête qualifiée de complexe menée par la National Crime Agency du Royaume-Uni dans le cadre d’une taskforce internationale connue sous le nom d’« Opération Cronos », coordonnée au niveau européen par Europol et Eurojust.
Des activités en cours ciblent les dirigeants du groupe LockBit, les développeurs, les filiales, les infrastructures et les actifs criminels
Le Centre européen de lutte contre la cybercriminalité (EC3) d’Europol a organisé 27 réunions opérationnelles et quatre sprints techniques d’une semaine pour développer les pistes d’enquête en vue de préparer la phase finale de l’enquête. Trois experts d’Europol étaient présents au poste de commandement de Londres pendant la phase d’action. Le dossier a été ouvert à Eurojust en avril 2022 à la demande des autorités françaises. Cinq réunions de coordination ont été organisées par l’Agence pour faciliter la coopération judiciaire et préparer l’action commune.
LockBit, un logiciel malveillant commercialisé en tant que « ransomware-as-a-service »
Le ransomware LockBit est le plus dangereux au monde. Il est apparu pour la première fois fin 2019, sous le nom de ransomware « ABCD ». Il s’est développé rapidement et il est devenu en 2022 la variante de ransomware la plus déployée dans le monde. Le groupe derrière LockBit est une organisation « ransomware-as-a-service ». C’est-à-dire qu’une équipe centrale crée son malware et gère son site Web, et propose sous licence son code à des affiliés qui lancent des attaques qui vont chiffrer les données des entreprises et exiger une rançon pour rendre les données de nouveau lisibles.
Des centaines d’affiliés ont été recrutés pour mener des opérations de ransomware à l’échelle mondiale
La triple extorsion est l’une de ses méthodes qui comprend le cryptage des données de la victime, la menace de la divulgation des données et des attaques par déni de service distribué (DDoS). La décision du gang de recourir à la triple extorsion a été en partie influencée par une attaque DDoS dont ils ont eux-mêmes été victimes, qui a entravé leur capacité à publier les données volées. En réponse, LockBit a amélioré son infrastructure pour résister à de telles attaques.
Un groupe de travail international pour lutter contre LocKbit
Le groupe de travail international Operation Cronos vise à cibler et perturber le ransomware LockBit. Les autorités suivantes font partie de ce groupe de travail :
- France : Gendarmerie nationale (Gendarmerie Nationale – Unité nationale cyber C3N)
- Allemagne : Bureau d’État d’enquête criminelle du Schleswig-Holstein (LKA Schleswig-Holstein), Office fédéral de la police criminelle (Bundeskriminalamt)
- Pays-Bas : police nationale (Team Cybercrime Zeeland-West-Brabant, Team Cybercrime Oost-Brabant, Team High Tech Crime) et parquet de Zeeland-West-Brabant
- Suède : autorité de police suédoise
- Australie : Police fédérale australienne (AFP)
- Canada : Gendarmerie royale du Canada (GRC)
- Japon : Agence nationale de police (警察庁)
- Royaume-Uni : National Crime Agency (NCA), South West Regional Organized Crime Unit (South West ROCU)
- États-Unis : Département américain de la Justice (DOJ), Federal Bureau of Investigation (FBI) Newark
- Suisse : Office fédéral de la police (fedpol), Ministère public du canton de Zurich, Police cantonale de Zurich
Cette action a été rendue possible grâce au soutien des pays suivants :
- Finlande : Police nationale (Poliisi)
- Pologne : Bureau central de lutte contre la cybercriminalité de Cracovie ( Centralne Biuro Zwalczania Cyberprzestępczości – Zarząd w Krakowie)
- Nouvelle-Zélande : Police néo-zélandaise (Nga Pirihimana O Aotearoa)
- Ukraine : Bureau du procureur général d’Ukraine (Офіс Генерального прокурора України), Département de cybersécurité du service de sécurité d’Ukraine (Служба безпеки України), Police nationale d’Ukraine (Національна поліція України)
