L'Agence nationale britannique de lutte contre la criminalité (NCA) a mené l'opération « Cronos » et a été aidée par une douzaine d’autres pays pour démanteler le groupe Lockbit.
Une opération d’envergure mondiale
Son nom est Lockbit ! Et pour ceux qui ne le connaissent pas, il s'agit du groupe de pirates informatiques le plus prolifique au monde, dont les dernières attaques ont touché le port de Lisbonne, la banque chinoise ICBC et la mairie de Séville. Après avoir gagné des millions de dollars grâce à ses activités illicites pendant un peu plus de quatre ans, le groupe aurait été démantelé. C'est du moins ce qu'affirme l'Agence nationale britannique de lutte contre la criminalité (NCA) qui a mené une opération internationale baptisée « Cronos » avec l'aide d'Europol et d'Eurojust.
Cette opération a permis de perturber l'activité de LockBit « à tous les niveaux », d'arrêter deux membres du gang et d'intercepter plus de 200 comptes de crypto-monnaies. L'impact le plus important pour LockBit a été la perte de la majeure partie de son infrastructure criminelle. Selon les autorités, les membres de l'opération ont réussi à prendre le contrôle de la plupart de ses systèmes après les avoir infiltrés. Ainsi, 34 serveurs situés aux Pays-Bas, en Allemagne, en Finlande, en France, en Australie, aux États-Unis, au Royaume-Uni et en Suisse ne sont plus opérationnels.
Tout est sous contrôle !
LockBit disposait d'une page sur le dark web qui servait de lien avec des groupes d'attaquants endurcis et constituait également l'élément principal du groupe pour menacer et publier les données volées des victimes. Aujourd'hui, si nous voulons accéder à cette page via le réseau Tor, nous sommes confrontés au message suivant : « Ce site est désormais sous le contrôle de la NCA, qui travaille en étroite collaboration avec le FBI et le groupe de travail international chargé de l'application de la loi ». La NCA indique qu'elle a également obtenu le code source de la plate-forme LockBit et d'importantes informations historiques sur les activités du groupe, notamment les autres groupes avec lesquels il a travaillé. Le contenu des serveurs mis sur écoute devrait être utilisé dans le cadre d'enquêtes parallèles sur d'autres groupes cybercriminels.
De plus, et comme je le disais plus tôt, l'opération a également abouti à l'arrestation de deux ressortissants russes liés au groupe racine. L'un d'entre eux se trouvait en Pologne et l'autre en Ukraine. Les deux suspects ont été inculpés par les États-Unis. Pour comprendre pourquoi cette affaire est si importante, il faut savoir que LockBit est à l'origine d'un modèle de cybercriminalité assez curieux, mais désormais conventionnel. Il s'agit du ransomware-as-a-service (RaaS), équivalent malveillant du modèle légal software-as-a-service (SaaS).
Dans ce schéma, LockBit a pris l'initiative de développer le ransomware et de le proposer à d'autres attaquants, c'est-à-dire à des acteurs malveillants prêts à payer pour l'utiliser. Lorsque le ransomware LockBit infecte un système, les données du système de la victime sont cryptées et inaccessibles. Les attaquants exigent alors le paiement d'une rançon en crypto-monnaies afin de fournir la clé de déchiffrement permettant de restaurer les données dans leur état d'origine. Parfois, si la rançon n'est pas payée, il y a aussi une menace de publication des données cryptées.
Néanmoins, et selon Europol, « une grande quantité de données recueillies tout au long de l'enquête sont désormais en possession des forces de l'ordre ». Et enfin, pour aider les victimes de LockBit, les autorités des pays impliqués dans l'opération Cronos ont mis à disposition des outils de déchiffrage pour récupérer les données corrompues par les attaques.