(Londres) Le groupe de cybercriminels LockBit, présenté comme « le plus nuisible » au monde, a été démantelé lors d’une opération de police internationale, ont annoncé mardi les autorités de plusieurs pays.

« Après avoir infiltré le réseau du groupe, la NCA [agence de lutte contre la criminalité britannique, NDLR] a pris le contrôle des services de LockBit, compromettant la totalité de son entreprise criminelle », a déclaré la NCA dans un communiqué. Selon elle, le rançongiciel a ciblé « des milliers de victimes à travers le monde » et causé des pertes qui, au total, se chiffrent en milliards d’euros.

« Nous avons piraté les pirates », s’est félicité Graeme Biggar, directeur général de la NCA, annonçant la mise hors d’état de nuire de LockBit lors d’une conférence de presse à Londres.

PHOTO KELVIN CHAN, ASSOCIATED PRESS

Graeme Biggar (2e à partir de la gauche), directeur général de la NCA, le 20 février à Londres.

LockBit a ciblé les infrastructures critiques et les grands groupes industriels, avec des demandes de rançon allant de 7 à 100 millions de dollars canadiens.

En 2023, le groupe a notamment attaqué l’opérateur postal britannique et un hôpital canadien pour enfants et, en France, les hôpitaux de Corbeil-Essonnes et Versailles en région parisienne.

Les cybercriminels mettaient à disposition de leurs « affiliés » outils et infrastructures leur permettant de mener des attaques.

Celles-ci consistaient à infecter le réseau informatique des victimes pour voler leurs données et crypter leurs fichiers.

Une rançon était exigée en cryptomonnaies pour décrypter et récupérer les données, sous peine de publication des données des victimes.

« Tolérance » de la Russie

Selon le patron de la NCA, les investigations n’ont pas mis en évidence de « soutien direct » de l’État russe envers LockBit, mais ont néanmoins souligné une « tolérance » envers la cybercriminalité en Russie.

« Ce sont des cybercriminels, ils sont basés partout dans le monde, il y a une large concentration de ces individus en Russie et ils parlent souvent russe », a-t-il déclaré.

LockBit est présenté comme l’un des logiciels malveillants les plus actifs au monde, avec plus de 2500 victimes, « parmi lesquelles des hôpitaux, des mairies et des sociétés de toutes tailles », a indiqué dans un communiqué le parquet de Paris.

L’opération a permis, selon le parquet de Paris, de « prendre le contrôle d’une partie importante de l’infrastructure du rançongiciel LockBit, y compris sur le darkweb », et notamment le « wall of shame » (mur de la honte) « où étaient publiées les données de ceux qui refusaient de payer la rançon ».

« Ce site est sous contrôle »

Les États-Unis ont, eux, annoncé des sanctions économiques et ciblant deux Russes « affiliés » à LockBit, Ivan Kondratiev et Artur Sungatov.

Le département du Trésor a souligné dans un communiqué que « cette action est la première ciblant LockBit dans le cadre d’une collaboration avec le ministère américain de la Justice, le Federal Bureau of Investigation (FBI) et nos partenaires internationaux ».

Selon la NCA britannique, plus de 200 comptes de cryptomonnaies liés au groupe ont été gelés, et les enquêteurs ont obtenu plus de 1000 clefs servant à décrypter les données afin de pouvoir les restituer à leurs propriétaires.

« Ce site est à présent sous contrôle des forces de l’ordre », indique un message sur la page d’accueil d’un site de LockBit, précisant que la NCA britannique a pris la main sur le site, en coopération avec le FBI américain et les agences de plusieurs pays.

En novembre 2022, le département américain de la Justice avait qualifié le rançongiciel LockBit de « plus actif et plus destructeur des variants dans le monde ».

Il y a un an, le réseau d’attaques au rançongiciel Hive avait été démantelé. Il était accusé d’avoir pris pour cible 1500 entités dans 80 pays et d’avoir collecté plus de 100 millions de dollars de rançons.