Cyberattaques : ce que l'on sait du coup de filet international contre LockBit, l'un des groupes de hackers les plus dangereux du monde

Un coup dur pour l'un des gangs de hackers les plus dangereux de la planète. Le groupe LockBit, responsable de plusieurs centaines de piratages de grande ampleur en France et dans le monde, a été la cible d'une opération de police internationale qui a conduit à la saisie de plusieurs sites du groupe sur le dark web, lundi 19 février.

Cette opération, menée conjointement par les enquêteurs de plusieurs pays dont la France, a également permis l'arrestation de deux de ses membres et l'obtention de nombreuses données. Voici ce que l'on sait de cette offensive.

Le groupe de pirates le plus actif au monde

LockBit est un groupe de pirates informatiques russophone, qui a conçu plusieurs générations de rançongiciels (ou "ransomware") du même nom. Ces logiciels malveillants permettent de chiffrer les données présentes sur les appareils d'un réseau, ce qui les rend illisibles à moins de disposer d'un code spécifique – que LockBit ne prétend fournir qu'en échange d'une rançon. Si la victime ne paye pas, les pirates menacent de publier ou de revendre les données.

En novembre 2022, les Etats-Unis avaient affirmé que le rançongiciel LockBit était le "plus actif et plus destructeur des variants dans le monde". Rien qu'aux Etats-Unis, le groupe a mené plus de 1 700 attaques depuis 2020 pour près de 91 millions de dollars de rançons au total, selon une agence américaine. Contrairement à d'autres groupes, LockBit est devenu une véritable entreprise, qui vend ses services à d'autres pirates en échange d'un pourcentage. 

En France, LockBit a été impliqué dans plus de 200 attaques selon le parquet de Paris, par exemple contre l'hôpital de Corbeil-Essonnes (Essonne) en octobre 2022 pour réclamer un million de dollars de rançon, contre La Poste Mobile en juillet de la même année ou encore contre le groupe Voyageurs du monde en juin 2023. L'un de ses rançongiciels, utilisé par d'autres groupes malveillants, a pu être utilisé dans l'attaque informatique subie par l'hôpital d'Armentières (Nord) le 10 février, comme l'explique sur X Valéry Rieß-Marchive, rédacteur en chef du site spécialisé LeMagIT.

Une action conjointe de dix pays

Une vingtaine de sites connus du groupe sur le dark web ont été mis hors ligne ou réquisitionnés dans la nuit du lundi 19 au mardi 20 février, selon le compte spécialisé en cybersécurité vx-underground sur X. L'équipe de LockBit a confirmé la saisie de ces sites par le FBI, selon le site spécialisé Zataz.

Ces pages ont toutes été remplacées par le même message en anglais, annonçant que "ce site est maintenant sous contrôle de la police". Cette saisie a été permise grâce à l'action conjointe de 10 pays membres de l'"opération Cronos", dont les Etats-Unis, le Royaume-Uni ou la France, l'Allemagne ou le Japon.

Dans un communiqué publié mardi à midi, Europol explique avoir "perturbé les opérations criminelles de LockBit à tous les niveaux, endommageant sévèrement leur capacité et crédibilité". L'organisation de police internationale décrit une "opération longue de plusieurs mois", qui a permis la mise hors service de 34 serveurs dans plusieurs pays.

Les autorités britanniques précisent dans un communiqué avoir obtenu le code source de la plateforme LockBit, ainsi que de nombreux renseignements sur les capacités du groupe. Elles ont également pris le contrôle de l'environnement permettant aux affiliés de LockBit de perpétrer leurs attaques, ainsi que du "mur de la honte" sur lequel les pirates publient les noms de leurs victimes, entre autres.

Deux "acteurs" du groupe ont été arrêtés "à la demande des autorités judiciaires françaises", selon Europol, qui précise que deux mandats d'arrêt internationaux et cinq mises en examen ont également été prononcées par les autorités françaises et américaines. Plus de 200 portefeuilles de cryptomonnaies liés à LockBit ont également été gelés, selon Europol.

Pour aider les victimes de LockBit, les autorités des pays impliqués dans l'opération ont également mis à disposition des outils de déchiffrement pour récupérer les donnés corrompues par les attaques. Ils sont disponibles gratuitement sur le portail No More Ransom.

Des pirates durement touchés, mais pas encore coulés

La saisie des sites de LockBit porte un coup extrêmement sévère aux opérations du groupe. Ces pages lui servaient à afficher les noms des victimes, à réclamer les rançons mais aussi à publier les données volées. Les données obtenues par les autorités pour déchiffrer celles qui ont été corrompues réduisent également les conséquences des attaques déjà commises et de celles à venir.

Sur l'un de ses canaux de communication, LockBit affirme cependant détenir des serveurs de rechange qui n'ont pas été touchés par l'opération, selon vx-underground sur X. Mais le supplice n'est pas fini pour le groupe : les autorités ont détourné le "mur de la honte" de LockBit pour annoncer que des informations supplémentaires seraient dévoilées tout au long de la semaine.