LockBit sonne comme un logiciel informatique aux oreilles des non-initiés. Pourtant, il s’agit du groupe de hackers le plus prolifique à l’heure actuelle. Il a déjà fait plus de 2 000 victimes et amassé près de 120 millions de dollars de rançons depuis sa création en 2019.
Le ransomware est une forme de cyberattaque visant à s’introduire dans les réseaux informatiques d’une organisation, d’y déployer un malware et de crypter tous les fichiers présents. Les victimes retrouvent leurs données en échange d’une rançon. Les pirates menacent généralement leurs cibles de révéler des documents sensibles en ligne s’ils ne paient pas. LockBit est l’un des groupes de cybercriminels qui se sont imposés grâce à ce mode opératoire. Il est considéré comme le plus actif et le prolifique au vu du nombre d’attaques menées en France et dans d’autres pays. Alors qu’il était au plus de sa capacité de nuisance, les divisions cybernétiques de plusieurs pays se sont mobilisés pour démanteler le groupe.
Le fonctionnement de LockBit depuis sa création
LockBit est identifié pour la première fois en 2020. Néanmoins, ses premières activités remontent à 2019. Le groupe de rançongiciels le plus actif au monde a réussi à amasser une fortune grâce à une méthode éprouvée. LockBit s’appuie sur les bases d’une attaque ransomware : crypter les données, réclamer une rançon et débloquer ou revendre les informations sur le dark web.
Par contre, il a la particularité de mener des opérations de moindre envergure. Au lieu de réaliser le « coût du siècle » à plusieurs millions de dollars, LockBit a lancé un programme d’affiliés qui ont accès à son malware, ou « RaaS » (ransomware as a service). Ces affiliés, qui sont des pirates indépendants, agissent en toute liberté et versent un pourcentage de la rançon. D’après l’agence américaine de la cybersécurité (CISA), LockBit était payé en pourcentage de la rançon ou en système d’abonnements. Les experts révèlent également que la majorité des membres sont russophones.
LockBit fonctionne comme une startup avec une structure bien organisée. Le groupe demande les avis et retours de ses affiliés et y tient compte pour l’amélioration de son rançongiciel.
Les premières attaques commencent en septembre 2019. À l’époque, le ransomware portait le surnom de virus « abcd », il s’agit de l’extension des fichiers utilisée par les pirates. La majorité des victimes sont basées aux États-Unis, Chine, Indonésie, Inde, France, Royaume-Uni, etc. Les experts ont constaté que les attaques semblent éviter les organisations russes ou d’autres pays de l’ex URSS. Parmi les entreprises ciblées, on retrouve Boeing, Industrial and Commercial Bank of China Financial Services, etc. En France, les hôpitaux semblent être les cibles privilégiées du groupe. En 2022, c’était le cas de l’hôpital de Corbeil-Essonnes ou plus récemment, l’hôpital de Cannes en avril 2024.
Pour tout problème lié à l'envoi de ce formulaire, écrivez à contact@guardia.school ou appelez le 04 28 29 58 49
Le lancement de l’opération « Cronos »
Au mois de février dernier, les agences anglaises et américaines coordonnent une opération baptisée « Cronos » pour débusquer les cybercriminels en partenariat avec d’autres agences gouvernementales. L’opération a été couronnée de succès puisqu’ils déclarent avoir démantelé LockBit. En détail, cinq personnes ont été arrêtées aux États-Unis, deux autres en Europe. Les individus sont considérés comme des membres présumés du groupe.
En parallèle, les autorités ont pris le contrôle d’une partie des avoirs de LockBit à l’instar de la page d’accueil du ransomware, des outils de piratage, etc. Cela équivaut à près de 200 comptes de cryptomonnaie ainsi que 11 000 serveurs et domaines éparpillés dans le monde entier.
D’après la déclaration conjointe de la division cybernétique anglaise NCA, ils ont réussi à saisir des dizaines de sites web utilisés par LockBit et à prendre le contrôle des serveurs des administrateurs du groupe. Ces actions ont permis de perturber les capacités des acteurs à attaquer et à extorquer leurs victimes.
De nouveaux noms apparaissent à l’occasion de cette déclaration à la presse. Le ministère de la Justice américain révèle des accusations à l’encontre de deux ressortissants russes, à savoir Kondratyev et Sungatov. Kondratyev, qui porte également le pseudonyme de Bassterlord, fait déjà l’objet de plusieurs poursuites en Californie pour le déploiement d’un ransomware. De son côté, Sungatov est accusé d’avoir perpétré des attaques contre plusieurs entreprises, notamment des assurances, basées dans le Minnesota, la Floride ou encore le Wisconsin.
L’identité du leader de LockBit enfin connu en 2023
Alors que le ransomware LockBit continue à faire des ravages depuis sa création, les forces internationales se mobilisent avec le Royaume-Uni et les États-Unis à leur tête. L’opération est menée par la NCA (National crime agency), une agence britannique. Elle a réussi à démasquer l’identité du chef du groupe de cybercriminels, Dmitry Yuryevich Khoroshev, un développeur russe de 31 ans. Il est plus connu sous les pseudonymes « LockBit » ou « LockBitSupp » et est considéré comme l’administrateur du groupe. Depuis l’arrestation de l’individu, la NCA révèle des sanctions lourdes à son encontre, à commencer par le gel de ses actifs et l’interdiction de voyager.
De son côté, le département d’État américain promet la somme de 10 millions de dollars à ceux qui donneront des informations pour arrêter le cerveau du groupe. Rappelons que le groupe compte à son actif plus de 2500 victimes ainsi qu’un butin qui s’élève à 500 millions de dollars.
Plusieurs interpellations d'acteurs présumés de LockBit en été 2024
Malgré la réussite des opérations en début d’année, la NCA et ses compères ne comptaient pas s’arrêter en si bon chemin. L’été est marqué par plusieurs interpellations. En France, la gendarmerie nationale a procédé à l’arrestation d’un développeur présumé du ransomware. Il s’agissait d’un individu ayant quitté le sol russe pour ses vacances.
Deux autres acteurs seront interpellés au mois d’août par la NCA. Les deux sont suspects dans une opération de chantage et de blanchiment d’argent. Les données collectées dans le cadre de l’opération Cronos ont permis de les identifier. Enfin, un autre acteur clé a été arrêté à Madrid. Celui-ci était suspecté d’être le facilitateur d’infrastructures du groupe de hackers. Cette arrestation a permis aux autorités de saisir neuf serveurs par la même occasion.
En somme, bien que ces opérations n’aient pas réussi à mettre hors d’état de nuire définitivement LockBit, elles ont réduit leur capacité opérationnelle. LockBit a perdu un bon nombre d’affiliés qui se sont tournés vers la concurrence. En septembre 2024, ses activités pèsent 2 % sur les attaques par ransomware, contre 41 % pour RansomHub, un autre groupe.