"Nous avons hacké les hackers", s’est félicité Graeme Biggar, directeur général de la NCA, annonçant la neutralisation de LockBit lors d’une conférence de presse à Londres, le groupe de cybercriminels considéré comme le plus nuisible au monde."Après avoir infiltré le réseau du groupe, la NCA (agence de lutte contre la criminalité britannique, NDLR) a pris le contrôle des services de LockBit, compromettant la totalité de leur entreprise criminelle", a déclaré la NCA dans un communiqué. Selon elle, le rançongiciel a ciblé "des milliers de victimes à travers le monde" et causé des pertes qui au total se chiffrent en milliards d’euros en comptant les rançons versées et les coûts induits pour les victimes. LockBit a ciblé les infrastructures critiques et les grands groupes industriels, avec des demandes de rançon allant de cinq à 70 millions d’euros.

En 2023, le groupe a notamment attaqué l’opérateur postal britannique et un hôpital canadien pour enfants, et en France les hôpitaux de Corbeil-Essonnes et Versailles en région parisienne. Les cybercriminels mettaient à disposition de leurs "affiliés" outils et infrastructures leur permettant de mener des attaques. Celles-ci consistaient à infecter le réseau informatique des victimes pour voler leurs données et crypter leurs fichiers.

Une rançon était exigée en cryptomonnaies pour décrypter et récupérer les données, sous peine de publication des données des victimes.

Plus de 200 victimes en France

LockBit a perçu plus de 120 millions de dollars (plus de 13 milliards de francs) de rançons au total, selon les États-Unis, où cinq personnes, notamment deux ressortissants russes, font l’objet de poursuites. Selon le patron de la NCA, les investigations n’ont pas mis en évidence de "soutien direct" de l’Etat russe envers LockBit, mais ont néanmoins souligné une "tolérance" envers la cybercriminalité en Russie. "Ce sont des cybercriminels, ils sont basés partout dans le monde, il y a une large concentration de ces individus en Russie et ils parlent souvent russe", a-t-il déclaré.

LockBit est présenté comme l’un des logiciels malveillants les plus actifs au monde, avec plus de 2 500 victimes dont plus de 200 en France, "parmi lesquels des hôpitaux, des mairies, et des sociétés de toutes tailles", a indiqué dans un communiqué le parquet de Paris. Les enquêteurs français ont interpelé "deux cibles en Pologne et en Ukraine" et ont effectué des perquisitions, selon la même source.

L’opération a permis selon le parquet de Paris de "prendre le contrôle d’une partie importante de l’infrastructure du rançongiciel LockBit, y compris sur le darknet", et notamment le "wall of shame" (mur de la honte) "où étaient publiées les données de ceux qui refusaient de payer la rançon".

"Ce site est sous contrôle"

Les États-Unis ont eux annoncé des sanctions économiques et ciblant deux Russes "affiliés" à Lockbit, Ivan Kondratiev et Artur Sungatov. Le département du Trésor a souligné dans un communiqué que "cette action est la première ciblant LockBit dans le cadre d’une collaboration avec le ministère américain de la Justice, le Federal Bureau of Investigation (FBI) et nos partenaires internationaux".

Selon la NCA britannique, plus de 200 comptes de cryptomonnaies liés au groupe ont été gelés et les enquêteurs ont obtenu plus de mille clefs servant à décrypter les données afin de pouvoir les restituer à leurs propriétaires. "Ce site est à présent sous contrôle des forces de l’ordre", indique un message sur la page d’accueil d’un site de LockBit, précisant que la NCA britannique a pris la main sur le site, en coopération avec le FBI américain et les agences de plusieurs pays. En novembre 2022, le ministère américain de la Justice (DoJ) avait qualifié le rançongiciel LockBit de "plus actif et plus destructeur des variants dans le monde".

Il y a un an, le réseau d’attaques au rançongiciel Hive avait été démantelé. Il était accusé d’avoir pris pour cible 1 500 entités dans 80 pays et d’avoir collecté plus de cent millions de dollars de rançons.