Une opération internationale des forces de l’ordre a mis hors service des dizaines de serveurs et perturbé LockBit, « le groupe de cybercriminalité le plus dangereux au monde » selon les autorités britanniques.
LockBit et ses filiales ont causé des milliards de dollars de dégâts et ont extorqué des dizaines de millions de rançons à leurs victimes. Leurs cibles incluent les banques, les services postaux et même un hôpital pour enfants.
Comment fonctionne LockBit ?
Plutôt que de mener lui-même une opération criminelle complète, LockBit a développé un logiciel malveillant – le « ransomware » – qui permet aux attaquants de bloquer l’accès des victimes à leurs ordinateurs et réseaux.
Les victimes ont ensuite été invitées à payer une rançon en cryptomonnaie en échange de la possibilité de retrouver l’accès à leurs données. Ceux qui ne payaient pas risquaient de voir leurs données déversées sur le dark web.
Le ransomware « LockBit » a été observé pour la première fois en 2020 et a gagné de l’argent grâce à des paiements initiaux et des frais d’abonnement au logiciel, ou grâce à une réduction de la rançon, selon l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA).
Le modèle est connu sous le nom de « Ransomware as a Service » ou RaaS.
LockBit se comportait généralement comme une entreprise professionnelle, recherchant les commentaires des clients – appelés « affiliés » – et déployant des améliorations en matière de ransomware.
« LockBit fonctionne comme une entreprise. Ils dirigent – ou dirigent – un navire étroit, ce qui leur a permis de survivre à de nombreuses autres opérations de ransomware », a déclaré à l’AFP Brett Callow, analyste des menaces au sein de la société de cybersécurité Emsisoft.
LockBit aurait opéré à partir de plusieurs sites et les experts en cybersécurité affirment que ses membres étaient russophones.
Dans quelle mesure les ransomwares sont-ils lucratifs ?
En 2023, les extorsions commises par des groupes de ransomwares ont dépassé pour la première fois le milliard de dollars en crypto-monnaie, selon les données publiées ce mois-ci par la société de blockchain Chainalysis.
LockBit a ciblé plus de 2 000 victimes dans le monde et a reçu plus de 120 millions de dollars de rançon, a annoncé mardi le ministère américain de la Justice.
Ces paiements potentiellement énormes ont enhardi les cybercriminels.
« Inondé d’argent, l’écosystème des ransomwares a explosé en 2023 et a continué à faire évoluer ses tactiques », a déclaré la société de cybersécurité MalwareBytes dans un rapport publié ce mois-ci.
« Le nombre d’attaques connues a augmenté de 68 pour cent, les demandes de rançon moyennes ont grimpé précipitamment et la demande de rançon la plus importante de l’année s’est élevée à 80 millions de dollars. »
Cette demande est intervenue après qu’une attaque LockBit ait gravement perturbé pendant des semaines l’opérateur postal britannique Royal Mail.
Qui sont les victimes de LockBit ?
Le rançongiciel LockBit a été utilisé contre une grande variété de cibles, depuis les petites entreprises et les particuliers jusqu’aux grandes entreprises.
Il a été utilisé « pour plus de deux fois plus d’attaques que son concurrent le plus proche en 2023 », selon MalwareBytes.
Le groupe a gagné en notoriété et en attention auprès des forces de l’ordre après des attaques très médiatisées telles que celle contre Royal Mail.
En novembre dernier, il a été accusé d’une attaque contre la branche américaine de la Banque industrielle et commerciale de Chine (ICBC), l’une des plus grandes institutions financières au monde, ainsi que contre le géant américain de l’aérospatiale Boeing.
En 2022, une filiale de LockBit a attaqué l’hôpital pour enfants malades de Toronto, au Canada, perturbant les résultats de laboratoire et d’imagerie. LockBit se serait excusé pour cette attaque.
« Bien que les développeurs de LockBit aient créé des règles stipulant que leurs ransomwares ne seront pas utilisés contre des infrastructures critiques, il est clair que les affiliés de LockBit ignorent largement ces règles », a écrit Stacey Cook, analyste de la société de cybersécurité Dragos, dans un rapport publié l’année dernière.
« Les développeurs de LockBit ne semblent pas trop soucieux de demander des comptes à leurs affiliés. »
Qui riposte et comment ?
La visibilité croissante de LockBit et les attaques croissantes de ses affiliés ont obligé les forces de l’ordre à intensifier leurs efforts pour gagner ce jeu du chat et de la souris.
Une alliance d’agences de 10 pays, dirigée par la National Crime Agency britannique, a déclaré mardi avoir perturbé LockBit à « tous les niveaux » dans le cadre d’un effort baptisé « Opération Cronos ».
Europol a déclaré que 34 serveurs en Europe, en Australie, aux États-Unis et en Grande-Bretagne avaient été fermés et que 200 comptes de crypto-monnaie liés à Lockbit avaient été gelés.
La NCA a déclaré que cette action avait compromis « l’ensemble de l’entreprise criminelle » de LockBit.
« Cela signifie probablement la fin de LockBit en tant que marque. L’opération a été compromise et d’autres cybercriminels ne voudront plus faire affaire avec eux », a déclaré Callow d’Emsisoft à l’AFP.
Mais ces dernières années, les experts en cybersécurité ont détecté des groupes de ransomwares qui ont suspendu leurs opérations à la suite de mesures policières pour réapparaître sous des noms différents.
« Notre travail ne s’arrête pas là. LockBit pourrait chercher à reconstruire son entreprise criminelle », a déclaré le directeur général de la NCA, Graeme Biggar, dans un communiqué.
« Cependant, nous savons qui ils sont et comment ils opèrent. Nous sommes tenaces et nous n’arrêterons pas nos efforts pour cibler ce groupe et toute personne qui lui est associée. »
(À l’exception du titre, cette histoire n’a pas été éditée par le personnel de NDTV et est publiée à partir d’un flux syndiqué.)