Les opérations du gang LockBit Ransomware arrêtées avec des arrestations et des mises en accusation
Les activités illicites du groupe de ransomwares LockBit ont été considérablement perturbées par la récente annonce de la National Crime Agency (NCA) du Royaume-Uni. La NCA a révélé qu'elle avait réussi à acquérir le code source de LockBit et à recueillir des renseignements sur ses opérations et les groupes associés par le biais de l'Opération Cronos, un groupe de travail dédié.
Une révélation importante de la NCA est que les données trouvées sur les systèmes de LockBit comprenaient des informations provenant de victimes qui avaient déjà payé une rançon, contredisant les promesses faites par les criminels de supprimer ces données. Cela souligne les risques associés au respect des demandes de rançon.
En outre, la NCA a confirmé l'arrestation de deux personnes liées à LockBit en Pologne et en Ukraine. En outre, plus de 200 comptes de crypto-monnaie liés au groupe ont été gelés et des actes d'accusation ont été dévoilés aux États-Unis contre deux ressortissants russes prétendument impliqués dans les attaques LockBit.
Artur Sungatov et Ivan Gennadievich Kondratiev, connu sous le nom de Basserlord, ont été accusés d'avoir déployé LockBit contre de nombreuses victimes, notamment des entreprises de divers secteurs aux États-Unis et dans le monde. Kondratyev fait face à des accusations supplémentaires liées à l'utilisation de la variante du ransomware Sodinokibi (REvil).
Les actions récentes font suite à un effort international visant à perturber LockBit, décrit par la NCA comme l'un des groupes de cybercriminalité les plus dangereux au monde. Dans le cadre de l'opération, l'agence a pris le contrôle des services de LockBit et a infiltré l'ensemble de son réseau criminel, y compris les environnements d'administration affiliés et les sites de fuite du dark web.
En outre, 34 serveurs appartenant aux filiales de LockBit ont été démantelés et les autorités ont récupéré plus de 1 000 clés de déchiffrement sur les serveurs confisqués. LockBit, opérationnel depuis fin 2019, fonctionne sur un modèle de ransomware-as-a-service, accordant des licences aux chiffreurs à des filiales qui exécutent des attaques en échange d'une partie de la rançon.
Les attaques de LockBit impliquent des tactiques de double extorsion, dans lesquelles des données sensibles sont volées avant le cryptage, augmentant ainsi la pression sur les victimes pour qu'elles paient pour empêcher la fuite de données. Le groupe a également expérimenté la triple extorsion, intégrant des attaques DDoS aux tactiques traditionnelles de rançon.
Des outils personnalisés tels que StealBit facilitent l'exfiltration de données, les autorités saisissant l'infrastructure utilisée pour organiser et transférer les données des victimes. Selon Eurojust et le DoJ, les attaques LockBit ont fait plus de 2 500 victimes dans le monde, générant des profits illicites dépassant 120 millions de dollars.
Le directeur général de la NCA, Graeme Biggar, a souligné le succès de l'effort de collaboration visant à paralyser les opérations de LockBit, en soulignant l'acquisition de clés cruciales pour aider les victimes à déchiffrer leurs systèmes. Il a également averti que même si LockBit pourrait tenter de se reconstruire, les forces de l'ordre sont conscientes de leur identité et de leurs méthodes, ce qui porte un coup dur à leur crédibilité et à leurs capacités.