Coup de filet contre le ransomware Lockbit 3.0
Une opération conjointe des différentes forces de l’ordre permet de nouvelles arrestations dans le monde du cybercrime. Quatre personnes sont donc détenues. Deux individus le sont sur le sol britannique, un en France et le dernier en Espagne. L’implication de douze pays mène à la capture d’un développeur, un administrateur d’un service d’hébergement (Bullet proof hosting), et deux pour leurs soutiens à l’activité d’un affilié à la franchise. La Guardia Civil met la main sur neuf serveurs de l’infrastructure, mais surtout un membre clé de l’organisation.
En début d’année, la coopération plaçait hors d’état de nuire 34 serveurs du RAAS (ransomware-as-a-service) LockBit. Actif depuis 2019, il est reconnu comme le rançongiciel le plus nocif et le plus prolifique, juste avant que le ransom Play ne le détrône. Un coup d’arrêt du à l’opération Cronos. C’est le jeu perpétuel du chat et de la souris entre les personnels des forces de l’ordre et les opérateurs du ransomware LockBit 3.0.
Quatre nouvelles arrestations contre LockBit 3.0
Comme les poupées russes, l’empilement des affaires conduit irrémédiablement à une fin annoncée, à moins que l’hydre survienne à sa légende. L’opération Cronos continue depuis les premières révélations en début d’année, jusqu’à ce jour du 1er octobre 2024 où des déclarations tonitruantes s’affichent partout. Ce qui est sûr est que les arrestations récentes concernant les ransomware LockBit et Evil Corp marquent une nouvelle étape dans cette lutte contre la cybercriminalité.
La capture qui revêt une importance notable est effectuée sur le sol espagnol, à Madrid. Un résident de Dubaï de retour de vacances, est accusé d’être l’administrateur du Bullet Proof Hosting, et placé en détention. Les autorités espagnoles confisquent, au passage neuf serveurs qui feraient partie de l’infrastructure critique du ransomware LockBit.
De l’autre côté des Pyrénées, c’est un développeur présumé qui est arrêté. Outre-Manche deux individus incriminés d’avoir soutenu un affilié au ransomware LockBit sont également détenus.
D’ailleurs, un grand nombre de sanctions sont, d’ores et déjà émises à l’encontre d’un autre acteur, identifié par la National Crime Agency du Royaume-Uni comme « un affilié prolifique de LockBit et fortement lié à Evil Corp ». Evil Corp est une autre entité cybercriminelle soupçonnée d’être soutenue par le Kremlin et bien connue des autorités internationales.
« Ces actions font suite à la perturbation massive de l’infrastructure de LockBit en février, ainsi qu’à l’importante série de sanctions et d’actions opérationnelles qui ont eu lieu contre les administrateurs de LockBit en mai et les mois suivants », indique Europol dans son communiqué. (Crédits : mansurtlyakov1/Pixabay)
L’affilié de LockBit lié à Evil Corp a été identifié comme étant Aleksandr Ryzhenkov AKA « Beverley ». Il est le bras droit connu du dirigeant d’Evil Corp, Maksim Yakubets. « Beverley » est selon la NCA l’auteur de 60 cyberattaques du ransomware LockBit extorquant au passage 100 millions de dollars à minima. En outre, Europol a déclaré que quinze citoyens russes ont été sanctionnés par le Royaume-Uni, six par les États-Unis et deux par l’Australie — tous pour leur implication dans les activités criminelles d’Evil Corp. Par ailleurs, mardi 2 mai 2024, le ministère américain de la Justice a également dévoilé un acte d’accusation incriminant Ryzhenkov dans le cadre des attaques contre BitPaymer.
L’opération « Cronos » à l’épreuve du temps
Le leader du ransomware LockBit est identifié par l’acte d’accusation du ministère de la Justice américaine et la NCA : Dmitry Yuryevich Khoroshev, ressortissant russe de 31 ans. « Il n’y a pas de cachette pour les cybercriminels comme Dmitry Khoroshev, qui font des ravages dans le monde entier. Il était sûr qu’il pouvait rester anonyme, mais il avait tort », explicite Graeme Biggar, directeur général de l’ANC.
Tout débute par l’opération Cronos. L’action coordonnée entre police et justice débouche à une mise hors ligne de 34 serveurs, en Europe, aux États-Unis et en Australie, le 19 février 2024. Une faille PHP est exploitée à l’insu du groupe de cybercriminels.
Le CEO du ransomware expliquait qu’en raison de sa négligence personnelle et de son irresponsabilité, il n’avait pas mis à jour sa version de PHP à temps. Si bien que les forces de l’ordre réussissaient à pénétrer dans le cœur du système d’information.
Puis l’arrestation de deux cybercriminels en Ukraine portait un coup notable. Les deux individus en question se chargent du blanchiment des rançons obtenues. Sans oublier le hacker russe de 28 ans arrêté en Ukraine suspecté d’avoir collaboré avec les cybercriminels des gangs Lockbit et Conti.
Si bien que la police britannique déclare avoir démasqué et réprimé le ressortissant russe Dmitry Khoroshev AKA LockBitSupp, administrateur et développeur du groupe de ransomware LockBit. L’acte d’accusation américain abonde en ce sens et révèle d’autres co-auteurs présumés, et Europol affiche des sanctions à l’encontre de la tête créatrice. La pression change de camp. (Crédits : capture d’écran/NCA)
Lors de la probité de l’action, la NCA indique que « l’opération Cronos a réussi à perturber le groupe LockBit Ransomware-as-a-Service. […] LockBit souffre aujourd’hui d’une capacité opérationnelle réduite, d’un engagement moindre de ses affiliés et d’un nombre réduit d’attaques. (Ce n’est pas un bon semestre pour LockBit !) LockBit a perdu des affiliés, dont certains se sont probablement tournés vers d’autres fournisseurs de Ransomware-as-a-Service à la suite de l’interruption de l’opération Cronos ».
Sanctions contre Evil Corp et LockBit
Evil Corp est l’un des premiers groupes de cybercriminalité financière. Depuis ces débuts, l’entité met au point des programmes malveillants. Leurs méfaits engendrent des dommages considérables « à de nombreuses organisations et à de nombreux secteurs, notamment les soins de santé, les infrastructures nationales critiques et le gouvernement, des infrastructures nationales critiques et des gouvernements. » Connue sous le nom d’Indrik Spider, cette entité fut présidée dans sa grande majorité par son fondateur Maksim Yakubets AKA « Aqua ». Il la dirige avec son père Viktor, selon la NCA.
Les États-Unis, le Royaume-Uni ainsi que l’Australie introduisent des sanctions contre seize personnes soupçonnées de faire partie du gang. Hors mis le père et le fils, les autorités s’intéressent à Aleksander Ryshenkov. En plus d’œuvrer pour Evil Corp, il aurait également des liens avec LockBit.
Deux individus avait plaidé coupable en juillet 2024. Selon les documents judiciaires, Magomedovich Astamirov, 21 ans, ressortissant russe de la République de Tchétchénie, et Mikhail Vasiliev, 34 ans, ressortissant canadien et russe de Bradford (Ontario), étaient membres de LockBit. Leurs condamnations devraient être connues le 8 janvier 2025. (Crédits : capture d’écran/NCA)
« La Russie continue d’offrir un refuge aux cybercriminels, où des groupes tels que LockBit sont libres de lancer des cyberattaques contre les États-Unis, leurs alliés et partenaires », avait affirmé un porte-parole du département du Trésor américain. Les forces de l’ordre analysent en continu les données afin d’identifier les individus soupçonnés d’être impliqués dans le ransomware LockBit. « Une fois de plus, nous remercions Dmitry Khoroshev, alias LockBitSupp, de nous avoir permis de compromettre sa plateforme et de découvrir toutes ces données juteuses (cela occupe nos équipes !). »
Veni, vidi…
La pression est donc mise sur l’ensemble de la chaîne de production. Sur l’ancien site de fuite de LockBit détenu par l’opération Cronos, le discrédit change la donne. En effet la pertinence des propos jette l’opprobre sur les criminels. La NCA partage des informations dans le post « What we’ve learnt ». Les images d’illustrations démontrent sans ambiguïté « les fautes techniques sur la gestion des effacements des enregistrements, dans la base de données ».
Les mots comme les bits ont un poids.
« […] nous avons obtenu 2 500 clés de décryptage, tous les noms d’utilisateur des affiliés de LockBit, les adresses BTC liées aux paiements des victimes et aux versements à LockBitSupp, toutes les négociations par chat (qui nous ont aidés à montrer quels affiliés travaillaient ensemble), tous les détails de la construction de l’attaque et quel affilié a attaqué quelle victime, le code source de la plateforme, le nouveau logiciel malveillant de LockBit en cours de développement, et bien d’autres choses encore », enfonce la NCA.
« Nous comprenons parfaitement la plateforme et son mode de fonctionnement […] Comme vous pouvez le constater, nous en avons déjà identifié quelques-uns, mais ce n’est qu’un début. » Avant de marteler que « LockBit vous a laissé tomber. Affiliés, développeurs et blanchisseurs d’argent, nous sommes impatients de vous retrouver très bientôt… »
(Crédits : capture d’écran/NCA)
Comme pour dévoiler la magie des Matriochkas l’agence britannique explique que « Aleksandr Ryzhenkov, né le 26 mai 1993, a été démasqué comme étant le membre d’Evil Corp affilié à LockBit. C’est grâce aux données obtenues dans le cadre de l’opération Cronos que nous avons pu établir ce lien. Nous continuerons à exploiter ces données jusqu’à ce que nous ayons identifié beaucoup d’autres d’entre vous », conclut l’agence nationale de lutte contre la criminalité.