Les forces de l’ordre conjointes d’Europol, du FBI et du Canada ont arrêté un membre du célèbre groupe de pirates Lockbit, connu pour avoir attaqué l’hôpital de Corbeil-Essonnes. Ce ressortissant russe de 33 ans était l’un des opérateurs du logiciel malveillant, selon l’agence européenne.

L’aventure est terminée pour un bandit Lockbit. Un opérateur du logiciel malveillant le plus médiatisé du moment, aurait été arrêté au Canada, selon un communiqué publié par Europol ce 10 novembre. « Ce ressortissant russe âgé de 33 ans est soupçonné d’avoir déployé le ransomware LockBit pour mener des attaques contre des infrastructures critiques et des grands groupes industriels à travers le monde » relaye le média américain Bleeping Computer.

Le suspect a été rattrapé par les forces de l’ordre en Ontario, au Canada, le mois dernier à la suite d’une enquête menée par la Gendarmerie nationale française avec l’aide du Centre européen de lutte contre la cybercriminalité (EC3) d’Europol, du FBI et de la Gendarmerie royale du Canada (GRC). Les services de police ont également saisi huit ordinateurs et 32 disques durs externes, deux armes à feu et 400 000 euros de crypto-monnaies au domicile du suspect. Ce dernier va maintenant être inculpé aux États-Unis.

« Lockbit était l’une des plus importantes cibles d’Europol en raison de leur implication dans de nombreuses affaires de ransomware très médiatisées », indique le communiqué d’Europol. En France, Lockbit a fait les gros titres cet été après avoir paralysé le système informatique de l’hôpital de Corbeil-Essonnes. Il avait déjà marqué les esprits avec une première offensive contre le ministère de la Justice française en janvier.

Un partenaire ou un opérateur ?

Bleeping Computer doute que le hacker arrêté soit le responsable du collectif, puisque ce dernier était encore actif sur des forums de pirates le 9 novembre. Il pourrait s’agir d’un développeur ou un malfaiteur partenaire qui se servait du logiciel. Lockbit est ce qu’on appelle un « ransomware as service », cela veut dire que le logiciel peut être utilisé par d’autres hackers qui partageront la rançon avec les gestionnaires. Le chef du groupe, interrogé par les chercheurs cyber de vx-underground, avait indiqué que plus d’une centaine de partenaires utilisaient son produit.

Lancé il y a deux ans, le collectif est devenu l’un des plus les prolifiques dans le monde des hackers, avec plus d’un tiers des attaques par ransomware répertoriées en mai/juin dernier, selon un rapport d’Intel471. Les rançons demandées dépassaient régulièrement les dix millions d’euros.

Les personnes passées par le salon de tatouage envoient la preuve par photo à Lockbit. // Source : Numerama
Le groupe, actif sur les forums de hackers russes, avait décidé de récompenser financièrement ceux qui se feraient tatouer leur logo. // Source : Numerama

Cette arrestation fait suite à une opération similaire menée en Ukraine en octobre 2021, impliquant le FBI, la police française et les forces de l’ordre ukrainiennes, ayant conduit à l’arrestation de deux complices. Alors que les annonces d’Europol et de la police ukrainienne décrivaient les suspects comme des membres d’un gang de ransomware de premier plan, l’agence européenne avait déclaré à l’époque qu’il ne pouvait pas nommer le groupe pour des raisons opérationnelles.

Le mélange entre ressortissants russes et ukrainiens ne peut surprendre, mais la majorité des groupes criminels de ransomware ne sont motivés que par l’argent et mettent la politique de côté. Le collectif avait déjà été perturbé en septembre par une fuite d’informations sur leur propre produit après une dispute interne avec un développeur. Il faudra surveiller l’activité du groupe sur les forums de hackers et leur site pour juger de l’impact de cette arrestation.