[Article publié mardi 20 février 2024 à 16h46, mis à jour à 17h46]Les autorités de plusieurs pays ont annoncé ce mardi avoir démantelé le groupe de cybercriminels russophone LockBit, présenté comme « le plus nuisible » au monde lors d'une opération de police internationale. « Après avoir infiltré le réseau du groupe, la NCA (agence de lutte contre la criminalité britannique, ndlr) a pris le contrôle des services de LockBit, compromettant la totalité de leur entreprise criminelle », a déclaré l'agence britannique dans un communiqué.

« Nous avons hacké les hackers », s'est félicité Graeme Biggar, directeur général de la NCA, annonçant la mise hors d'état de nuire de LockBit lors d'une conférence de presse à Londres, ce mardi.

Lire aussiPiratage de Microsoft par des hackers chinois : que s'est-il passé ?

« Ce site est à présent sous contrôle des forces de l'ordre », indiquait aussi un message sur un site de LockBit, précisant que la NCA britannique a pris la main sur le site, en coopération avec le FBI américain et les agences de plusieurs pays.

« Nous pouvons confirmer que les services de LockBit sont perturbés en raison d'une opération de police internationale, il s'agit d'une opération en cours », ajoute le message.

L'opération a permis selon le parquet de Paris de « prendre le contrôle d'une partie importante de l'infrastructure du rançongiciel LockBit, y compris sur le darknet », et notamment le « wall of shame » (mur de la honte) « où étaient publiées les données de ceux qui refusaient de payer la rançon ». De son côté, Europol a affirmé que 34 serveurs en Europe, en Australie, aux États-Unis et en Grande-Bretagne avaient été mis hors service et que 200 comptes de cryptomonnaies liés à LockBit avaient été gelés.

Plusieurs membres sanctionnés, dont des Russes

Après avoir mis hors service les ordinateurs du groupe, les autorités ont attrapé et sanctionné plusieurs membres. Les enquêteurs français ont interpellé « deux cibles en Pologne et en Ukraine » et ont effectué des perquisitions, selon la même source. Selon la NCA britannique, plus de 200 comptes de cryptomonnaies liés au groupe ont été gelés et les enquêteurs ont obtenu plus de mille clefs servant à décrypter les données afin de pouvoir les restituer à leurs propriétaires.

Les Etats-Unis ont eux annoncé des sanctions économiques et ciblant deux Russes « affiliés » à Lockbit, Ivan Kondratiev et Artur Sungatov.  Concernant le lien avec la Russie justement, selon le patron de la NCA, les investigations n'ont pas mis en évidence de « soutien direct » de l'Etat russe envers LockBit, mais ont néanmoins souligné une « tolérance » envers la cybercriminalité en Russie. « Ce sont des cybercriminels, ils sont basés partout dans le monde, il y a une large concentration de ces individus en Russie et ils parlent souvent russe », a-t-il déclaré.

120 millions de dollars de rançons perçues

Si l'agence britannique se félicite, c'est parce que, selon elle, son opération va permettre d'arrêter le rançongiciel développé par le groupe. Les attaques par rançongiciel, ou « ransomware », visent généralement à accéder à des systèmes informatiques vulnérables et à crypter ou voler des données, avant d'envoyer une demande de rançon exigeant un paiement en échange du déchiffrement des données ou de leur non-divulgation sur la place publique.

Dans ce segment de la cybercriminalité, Lockbit est donc considéré comme « le plus nuisible » au monde avec « des milliers de victimes à travers le monde », selon la NCA. En novembre 2022, le ministère américain de la Justice (DoJ) avait déjà qualifié le rançongiciel LockBit de « plus actif et plus destructeur des variants dans le monde ». Et pour cause, il comptabilise aujourd'hui plus de 2.500 victimes dont plus de 200 en France, y compris « des hôpitaux, des mairies, et des sociétés de toutes tailles », a indiqué dans un communiqué le parquet de Paris.

LockBit s'était spécialisé dans les infrastructures critiques et les grands groupes industriels, avec des demandes de rançon allant de 5 à 70 millions d'euros. Avec toutes ces attaques, le groupe a emmagasiné plus de 120 millions de dollars de rançons au total, selon les Etats-Unis.

Lire aussiCyberattaque : pourquoi le gang LockBit cherche à aider l'une de ses victimes

Plusieurs attaques d'hôpitaux

Parmi les attaques ayant fait le plus de bruit, en août 2022, LockBit avait fortement perturbé le fonctionnement du Centre hospitalier sud-francilien (CHSF) de Corbeil-Essonnes en lançant une cyberattaque en août. Il avait demandé une rançon de 10 millions de dollars, puis avait publié des données de patients, de personnels et de partenaires sur son site internet.

En 2022, le groupe de hackers avait réitéré en attaquant l'opérateur postal britannique et un hôpital canadien pour enfants en 2023. En novembre, la branche américaine de la plus grande banque de Chine, l'Industrial and Commercial Bank of China Financial Services (ICBC FS), a déclaré avoir « subi une attaque par rançongiciel qui a entraîné une perturbation de certains systèmes (de services financiers) ».

Cette attaque a notamment forcé les clients à réacheminer les transactions et même perturbé le marché du Trésor américain. Le même mois, le constructeur d'avions américain Boeing avait aussi subi une des attaques de Lockbit. En juillet dernier, le port de Nagoya (centre), le plus important de l'archipel en termes de trafic, avait été paralysé par une attaque par rançongiciel, qui avait aussi été attribuée à LockBit.

(Avec AFP)