Yahoo Actualités Ce que l’on sait de LockBit, le groupe de hackers « le plus nuisible » au monde, désormais démantelé
INTERNATIONAL - C’est une opération majeure qui fera date dans la lutte contre la cybercriminalité. Le groupe de hackers LockBit, présenté comme « le plus nuisible » au monde, a été démantelé lors d’une opération de police internationale, ont annoncé ce mardi 20 février les autorités de plusieurs pays.
« Après avoir infiltré le réseau du groupe, la NCA (agence de lutte contre la criminalité britannique, NDLR) a pris le contrôle des services de LockBit, compromettant la totalité de leur entreprise criminelle », a déclaré l’agence dans un communiqué. « Nous avons hacké les hackers », s’est félicité Graeme Biggar, son directeur général, annonçant la neutralisation de LockBit au cours de l’« opération Cronos », lors d’une conférence de presse à Londres.
The NCA reveals details of an international disruption campaign targeting the world’s most harmful cyber crime group, Lockbit.
Watch our video and read on to learn more about Lockbit and why this is a huge step in our collective fight against cyber crime. pic.twitter.com/m00VFWkR9Z— National Crime Agency (NCA) (@NCA_UK) February 20, 2024
« Ce site est à présent sous contrôle des forces de l’ordre », indique désormais un message sur le site de LockBit, précisant que la NCA britannique a pris la main en coopération avec le FBI américain et les agences de plusieurs pays.
🚨🔐 Breaking News 🚨🔐
Le site du groupe de ransomware #LOCKBIT maintenant sous contrôle de #LE ( Law Enforcement)
Après avoir affiché sur leur site un compte à rebours comme le font les groupes de ransomware (sic !), le site affiche désormais ceci : pic.twitter.com/kHWLA5hbbt— Cyber Veille (@Cyber_Veille) February 20, 2024
Le HuffPost fait le point sur cette opération conjointe.
• Comment fonctionnait LockBit ?
LockBit est présenté comme l’un des logiciels malveillants les plus actifs au monde, qui a fait plus de 2 500 victimes dans le monde. Au cours de son existence, ses hackers ont pu cibler les infrastructures critiques et les grands groupes industriels, avec des demandes de rançon allant de 5 à 70 millions d’euros.
« On estime que c’est un rançongiciel qui compte pour un bon quart des attaques dans le monde, avec une prédisposition à frapper l’Europe », souligne auprès du Monde Jean-Philippe Lecouffe, directeur adjoint des opérations d’Europol. Il décrit un groupe « très attractif » pour les pirates, car « tous les outils étaient fournis ».
Contrairement à d’autres groupes, LockBit était devenu une véritable entreprise, qui vendait ses services à d’autres pirates en échange d’un pourcentage.
En novembre 2022, le ministère américain de la Justice (DoJ) avait qualifié le rançongiciel LockBit de « plus actif et plus destructeur des variants dans le monde ».
• Comment les hackers procédaient-ils concrètement ?
Les cybercriminels mettaient à disposition de leurs « affiliés » des outils et infrastructures leur permettant de mener des attaques.
Celles-ci consistaient à infecter le réseau informatique des victimes pour voler leurs données et crypter leurs fichiers.
Une rançon était ensuite exigée en cryptomonnaies pour décrypter et récupérer les données, sous peine de publication des données des victimes.
• Combien d’argent LockBit a-t-il pu récolter ?
Le groupe de hackers a perçu plus de 120 millions de dollars de rançon au total, selon les États-Unis, où cinq personnes, notamment deux ressortissants russes, font l’objet de poursuites.
Rien qu’aux États-Unis, LockBit a mené plus de 1 700 attaques depuis 2020 pour près de 91 millions de dollars de rançons au total, selon une agence américaine, rapporte franceinfo.
Mais selon la NCA, le rançongiciel a causé des pertes qui au total se chiffrent en milliards d’euros si l’on ajoute aux rançons les coûts induits pour les victimes.
• Qui a été touché en France ?
Sur les 2 500 victimes de LockBit, plus de 200 se trouvent en France, « parmi lesquelles des hôpitaux, des mairies, et des sociétés de toutes tailles », a indiqué dans un communiqué le parquet de Paris. En 2023, le groupe a ainsi notamment attaqué les hôpitaux de Corbeil-Essonnes et Versailles en région parisienne.
Au cours de l’opération internationale Cronos, les enquêteurs français ont eux interpellé « deux cibles en Pologne et en Ukraine » et ont effectué des perquisitions, selon la même source.
L’opération a permis selon le parquet de Paris de « prendre le contrôle d’une partie importante de l’infrastructure du rançongiciel LockBit, y compris sur le darknet », et notamment le « wall of shame » (mur de la honte) « où étaient publiées les données de ceux qui refusaient de payer la rançon ».
— Parquet de Paris (@parquetdeParis) February 20, 2024
• Quid de la Russie ?
Selon le patron de la NCA, les investigations n’ont pas mis en évidence de « soutien direct » de l’État russe envers LockBit, mais ont néanmoins souligné une « tolérance » envers la cybercriminalité en Russie. « Ce sont des cybercriminels, ils sont basés partout dans le monde, il y a une large concentration de ces individus en Russie et ils parlent souvent russe », a-t-il déclaré.
À voir également sur Le HuffPost :
