Un ressortissant russe a été désigné par les forces de l'ordre comme étant le cerveau du célèbre ransomware LockBit. Cet homme, Dimitry Yuryevich Khoroshev, 31 ans, originaire de Voronezh, en Russie, également connu sous les noms de LockBitSupp, LockBit et putinkrab, a été inculpé par le ministère américain de la justice dans un acte d'accusation comportant 26 chefs d'accusation pour avoir créé et exploité le ransomware LockBit en tant que service (RaaS).LockBit est un groupe cybercriminel qui propose des ransomwares en tant que service (RaaS). Le logiciel développé par le groupe (également appelé ransomware) permet aux acteurs malveillants qui sont prêts à payer pour l'utiliser de mener des attaques selon deux tactiques : non seulement ils chiffrent les données de la victime et exigent le paiement d'une rançon, mais ils menacent également de les divulguer publiquement si leurs demandes ne sont pas satisfaites.
Selon l'acte d'accusation, M. Khoroshev a participé à la conception de LockBit, a recruté des affiliés pour déployer le logiciel malveillant contre les victimes, a maintenu l'infrastructure RaaS et le site de fuite LockBit, et aurait reçu plus de 100 millions de dollars en tant que part des paiements de rançon effectués par les victimes.
Le RaaS LockBit a commencé ses activités en septembre 2019 et a été interrompu par les forces de l'ordre en février 2024. Malgré cela, les administrateurs du RaaS ont réussi à restaurer une partie de l'infrastructure, ont lancé un nouveau site de fuites et ont repris leurs activités peu de temps après.
Selon l'acte d'accusation, LockBit a été utilisé dans des attaques contre plus de 2 500 victimes dans plus de 120 pays, dont 1 800 victimes aux États-Unis.
Le groupe de ransomware a ciblé des particuliers, des petites entreprises, des infrastructures critiques, des hôpitaux, des écoles, des sociétés, des organisations à but non lucratif, des gouvernements et des organismes chargés de l'application de la loi, et a reçu au moins 500 millions de dollars en paiements de rançons.
Outre le chiffrement, le groupe LockBit a exfiltré des données des organisations ciblées et les a utilisées pour faire pression sur les victimes, menaçant de rendre les données publiques si une rançon n'était pas payée.
À la suite de l'interruption de février 2024, les autorités policières ont appris que Khoroshev avait conservé des copies des données volées, même lorsque les victimes avaient payé la rançon, alors que lui et les affiliés de LockBit avaient promis de supprimer les données après le paiement.
Khoroshev est accusé de fraude, d'extorsion et d'avoir endommagé des ordinateurs protégés. Au total, les chefs d'accusation sont passibles d'une peine maximale de 185 ans de prison.
Khoroshev est la sixième personne inculpée pour son rôle dans l'opération LockBit. Les inculpations précédentes concernaient Mikhail Vasiliev, Mikhail Matveev, Ruslan Magomedovich Astamirov, Artur Sungatov et Ivan Kondratyev.
Mardi 7 mai, les États-Unis ont également annoncé des sanctions contre M. Khoroshev et une récompense pouvant aller jusqu'à 10 millions de dollars pour toute information menant à son arrestation. Auparavant, les États-Unis avaient annoncé une récompense de 10 millions de dollars pour toute information sur les dirigeants du groupe LockBit.
Des sanctions ont également été annoncées mardi par le Royaume-Uni et l'Australie.
En février, l'infrastructure de LockBit a été gravement perturbée par une opération internationale d'application de la loi appelée « Opération Cronos », qui a donné lieu à deux arrestations, à la fermeture de 34 serveurs, à la clôture de plus de 14 000 comptes frauduleux et au gel de plus de 200 comptes de crypto-monnaies.
Les affiliés de LockBit sont identifiés, les clés de déchiffrement sont disponibles
Après avoir infiltré l'infrastructure de LockBit, la National Crime Agency (NCA) britannique a découvert que le groupe avait mené plus de 7 000 attaques entre juin 2022 et février 2024, principalement contre des entités aux États-Unis, au Royaume-Uni, en France, en Allemagne et en Chine, dont plus de 100 hôpitaux et organisations de soins de santé.
Plus de 2 100 des victimes ont engagé une forme de négociation avec le groupe, et la NCA estime que le groupe a extorqué plus d'un milliard de dollars à ses victimes.
Bien que LockBit continue d'opérer, son activité est actuellement réduite de plus de 70 % par rapport aux niveaux antérieurs à la perturbation, du moins au Royaume-Uni. Les affiliés actuellement actifs sont moins sophistiqués et ont moins d'impact, selon la NCA.
Avant la suspension, la NCA avait identifié 194 affiliés utilisant le RaaS LockBit, mais ce nombre a chuté à 69 depuis février. La NCA a fourni une liste de toutes les identités découvertes, y compris les noms complets des nouveaux affiliés.
L'agence indique qu'elle est actuellement en possession de plus de 2 500 clés de déchiffrement et qu'elle contacte les victimes de LockBit pour les aider à récupérer leurs données.
Alors que l'opération Cronos se poursuit avec le soutien des services répressifs de 10 pays, Europol a annoncé mardi que plus de 3 500 victimes de LockBit dans 33 pays ont été identifiées, soulignant que les victimes peuvent utiliser un outil de récupération gratuit - disponible sur le site NoMoreRansom - pour restaurer leurs données.
Source : Acte d'accusation de Dimitry Yuryevich Khoroshev
Et vous ?
Quel est votre avis sur le sujet ?Voir aussi :
Le gang de cybercriminels Lockbit fait face à un démantèlement mondial, 200 portefeuilles de crypto-monnaie gelés, 11 000 domaines saisis, 14 000 comptes fermés Une ville canadienne attaquée par le ransomware LockBit. Les opérateurs exigent le paiement d'une rançon, sous peine de divulguer les données de la ville