Le site du ransomware Ragnar Locker n’est plus !

octobre 20, 2023octobre 28, 2023 Romuald Pena

Le 19 octobre 2023, une coopération d’une dizaine de pays et de leurs services de police a fait tomber le site de Ragnar Locker. Le groupe de cybercriminels affichait plus d’une centaine de victimes, dont une concentration dans les domaines de l’énergie, mais pas seulement. Désormais sur le site de fuite et de divulgation des données volées est affiché que les sites Web avaient été saisis dans le cadre d’une « action coordonnée de maintien de l’ordre au niveau international ».

Une opération conjointe est menée du 16 au 20 octobre 2023. Elle est le point final d’une enquête commencée en octobre 2021. Des recherches ont été effectuées en République tchèque, en Espagne et en Lettonie. La « cible principale » a été arrêtée à Paris le 16 octobre, et son domicile en République tchèque a été perquisitionné révèle Europol. Il a été déféré devant les juges d’instruction du tribunal judiciaire de Paris.. « L’infrastructure du ransomware a également été saisie aux Pays-Bas, en Allemagne et en Suède, et le site web associé à la fuite de données sur Tor a été supprimé en Suède. »

L’infrastructure du ransomware a été saisie aux Pays-Bas, en Allemagne et en Suède. Le site web de fuite de données a été supprimé en Suède. En octobre 2021, des enquêteurs avaient été déployés en Ukraine. Ce qui avait conduit à l’arrestation de deux opérateurs importants de Ragnar Locker.

En place du site de suite de l’organisation criminelle Ragnar Locker se trouve une image mentionnant une quinzaine de services de Police. Pas moins de dix pays ont collaboré pour ainsi démanteler le site. Les suspicions d’origine d’action des membres pointeraient vers la Russie. Des victimes furent exposées tout au long de la vie du site : Soltek Pacific, Dassault, Adata, Astro Industries, LDLC, Tap Air Portugal, Malayan Flour Mills Bhd, Cantalk… et le dernier en date du 12 octobre 2023 Scotbeff dont la quantité de renseignements était de 82,3 GB.

Comme preuve de la saisie des systèmes d’information, désormais sur le site de fuite sur le darknet est affichée l’image ci-dessus. (Crédits : capture d’écran)

Les opérateurs derrière Ragnar Locker avaient même poussé le vice en achetant des encarts publicitaires sur Facebook en 2020. Le chercheur Brian Krebs révélait l’information le 10 novembre 2020. C’était dans la soirée du lundi 9 novembre 2020 qu’une campagne publicitaire commençait à apparaître sur Facebook. Ladite annonce mettait en porte à faux la victime italienne : Campari Group. La rançon demandée était de 15 millions de dollars., qui a reconnu le 3 novembre que ses systèmes informatiques avaient été mis à l’écart par une attaque de logiciels malveillants.

Le groupe italien célèbre pour ses marques de liqueur comme Frangelico, Epsolon, Grand Marnier… se voyait dérober 2 TB d’informations. (Crédits : DR)

« La cybercriminalité implique des réseaux criminels très organisés, interconnectés et générant des chiffres d’affaires dont beaucoup d’entreprises légitimes ne pourraient que rêver. Ils sont partout, très puissants et motivés par l’appât du gain, la malveillance et le profit financier », explique Stephen Kavanagh, Directeur exécutif des Services de police d’INTERPOL. L’opération menée conjointement par différents services tels Europol, le FBI et en France la Gendarmerie nationale à permis de fermer le site, comme en début d’année pour le ransomware Hive mais les codes demeurent.