A L uneACTUALITESFAITS DIVERSinternationalPEOPLEPOLITIQUE

Opération de démantèlement du groupe de hackers russophone LockBit, spécialisée dans les cyberattaques

Cette vague d’interpellations s’inscrit dans une opération d’envergure, baptisée «Cronos», menée par douze pays, et qui a pour objectif de démanteler le groupe de hackers russophone LockBit, spécialisée dans les cyberattaques.

Nouveau coup de filet dans l’un des groupes criminels les plus prolifiques au monde. Quatre individus liés à LockBit ont été récemment interpellés, a appris Le Figaro auprès d’Europol  ce 1er octobre. Parmi elles, un développeur présumé, qui a été arrêté «à la demande des autorités françaises», précise l’organisation européenne de lutte contre le crime dans un long communiqué.

D’autres pays ont été impliqués dans ce coup de filet. La police britannique a interpellé deux personnes pour «soutien à une filiale de LockBit», et les autorités espagnoles ont saisi neuf serveurs, sur lesquels s’appuyait l’infrastructure de la bande cybercriminelle, et arrêté un dernier individu suspecté de la gérer.

Cette vague d’interpellations s’inscrit dans une opération d’envergure, baptisée «Cronos», menée par douze pays, et qui a pour objectif de démanteler le groupe de hackers russophone LockBit. La bande est spécialisée depuis des années dans les attaques par rançongiciel : elle met à disposition de ses «affiliés» un outil spécialement conçu pour infiltrer un système informatique. Cet outil bloque ensuite les données du système afin d’exiger une rançon sous peine de les divulguer ou de les revendre au plus offrant.

La France attaquée par LockBit

Le mode opératoire du groupe est particulièrement effectif auprès des infrastructures critiques ou des grands groupes industriels, avec des montants de rançons se chiffrant en dizaines de millions d’euros. LockBit a notamment attaqué en 2023 la Royal Mail – la poste britannique -, l’équipementier automobile allemand Continental, l’administration de Californie ou encore la chaîne américaine de sandwich, Subway.

LockBit a également été identifié comme étant derrière la cyberattaque des hôpitaux de Corbeil-Essonnes et de Versailles en 2023 ou, plus récemment, une agence de la région des Pays de la Loire, en juillet dernier. En France, le groupe a été à l’origine de 27% des demandes de rançons en 2022 et 2023 et l’Agence nationale de la sécurité des systèmes d’information (Anssi) a traité 69 piratages lui étant attribués. Le gang LockBit est responsable d’«avoir extorqué plus d’un milliard de dollars à des milliers de victimes dans le monde», avait précisé Londres en mai dernier.

Le fondateur et les «affiliés» ciblés par des sanctions

En février, l’opération Cronos avait déjà interrompu «à tous les niveaux» les services de LockBit, selon les polices internationales. À l’époque, 34 serveurs en Europe, en Australie, aux États-Unis et en Grande-Bretagne avaient été mis hors service et 200 comptes de cryptomonnaies liés à LockBit avaient été gelés. Cette action a compromis «l’ensemble de l’entreprise criminelle», d’après les autorités britanniques.

Cronos avait aussi permis d’identifier en mai «LockBitSupp», fondateur et cerveau présumé du groupe. Derrière ce pseudo équivoque se cacherait le Russe Dmitry Khoroshev, qui aurait empoché plus de 100 millions de dollars grâce à LockBit. Lui nie catégoriquement cette accusation. «La Russie continue d’offrir un refuge aux cybercriminels, où des groupes tels que LockBit sont libres de lancer des cyberattaques contre les États-Unis, leurs alliés et partenaires», avait affirmé le département du Trésor américain dans un communiqué, au moment où des sanctions avaient été imposées contre le citoyen russe. «L’administrateur et développeur de LockBit, un ressortissant russe, est désormais soumis à une série de gels d’avoirs et d’interdictions de voyager», émis par le Royaume-Uni, les États-Unis, et le Canada, avait précisé l’agence européenne de police Europol.

Ce mardi 1er octobre, les autorités britanniques, australiennes et américaines ont également annoncé une série de sanctions contre des membres présumés du gang cybercriminel russe, soupçonné d’être proche du Kremlin, «Evil Corp». La chasse aux cyberassaillants de LockBit et à ses «affiliés» n’est donc toujours pas terminée, et les autorités mondiales demeurent sur leur piste, malgré les effets d’annonce réguliers.