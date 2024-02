( AFP / JAN HENNOP )

Une opération internationale menée par les agences de cybersécurité de plusieurs pays a bloqué le site internet et les serveurs de LockBit, décrit par les autorités britanniques comme "le groupe de cybercriminels le plus nuisible au monde".

LockBit et ses affiliés ont causé des milliards de dollars de dégâts et extorqué des dizaines de millions de dollars de rançons à leurs victimes. Des banques, des services postaux ou encore des hôpitaux figurent parmi leurs cibles.

. Comment opérait LockBit ?

Repéré pour la première fois en janvier 2020, LockBit était le groupe le plus actif de rançongiciels au monde.

Avec une technique éprouvée: bloquer des données et exiger une rançon pour les débloquer. En cas de refus, les données étaient revendues sur le dark web.

Plutôt que d'opérer lui-même une gigantesque opération criminelle, LockBit mettait son logiciel malveillant à la disposition de ses affiliés — des pirates indépendants qui lui versaient ensuite un pourcentage des rançons obtenues.

Ce système est connu sous le nom de "rançongiciel à la demande" (ou "Raas", "Ransomware as a Service" en anglais).

LockBit se rémunérait ainsi via des paiements initiaux et des abonnements, ou récupérait une partie de la rançon obtenue, selon l'Agence américaine de cybersécurité (CISA).

LockBit opérait à partir de plusieurs sites et les experts en cybersécurité affirment que ses membres sont russophones.

Contrairement à d'autres groupes de pirates et de cybercriminels, LockBit se présentait comme une entreprise professionnelle, sollicitant des retours de ses affiliés et apportant des améliorations à son rançongiciel.

"LockBit fonctionne comme une entreprise. Ils savent - ou du moins savaient - mener leur barque, ce qui leur a permis de se maintenir à flot face à d'autres opérations du même type", a expliqué à l'AFP Brett Callow, analyste des menaces chez Emsisoft, une entreprise de sécurité.

. De quoi parle-t-on avec le démantèlement de LockBit ?

Mardi, une opération conjointe des autorités de dix pays, menée par l'Agence de lutte contre la criminalité britannique (NCA), a interrompu "à tous les niveaux" les services de LockBit, sous le nom de code "Opération Cronos".

Europol a affirmé que 34 serveurs en Europe, en Australie, aux États-Unis et en Grande-Bretagne avaient été mis hors service et que 200 comptes de cryptomonnaies liés à LockBit avaient été gelés.

La NCA a déclaré que cette action avait compromis "l'ensemble de l'entreprise criminelle".

"Cela signifie probablement la fin de LockBit en tant que marque. L'opération a été compromise et les autres cybercriminels ne voudront plus travailler avec eux", a déclaré à l'AFP M. Callow.

Mais ces dernières années, les experts en cybersécurité ont également détecté des groupes de rançongiciels qui avaient suspendu leurs activités à la suite d'une action des forces de l'ordre, pour réapparaître ensuite sous d'autres noms.

"Notre travail ne s'arrête pas ici. LockBit pourrait essayer de reconstruire son entreprise criminelle", a averti Graeme Biggar, directeur général de la NCA, dans un communiqué.

. Le rançongiciel, une activité lucrative ?

En 2023, les montants versés par les victimes de rançongiciels ont dépassé pour la première fois le milliard de dollars, selon les données publiées en février par la société américaine Chainalysis, spécialiste de l'étude des transactions en cryptomonnaies.

Les États-Unis ont recensé plus de 1.700 attaques de LockBit depuis 2020 et plus de 91 millions de dollars de rançons avaient été versées à l'été 2023. En France, LockBit a été à l'origine de 27% des demandes de rançons en 2022 et 2023.

Le paiement de ces rançons a donné des ailes aux cybercriminels.

"Inondé d'argent, l'écosystème des rançongiciels a bondi en 2023, tout en continuant à faire évoluer ses tactiques", a fait valoir la société de cybersécurité MalwareBytes, dans un rapport publié en février.

"Le nombre d'attaques connues a augmenté de 68%, le montant moyen payé par les victimes a grimpé en flèche et la plus grande demande de rançon de l'année a atteint la somme incroyable de 80 millions de dollars", a-t-elle ajouté.

Cette demande est intervenue après qu'une attaque LockBit a paralysé le groupe postal britannique Royal Mail pendant des semaines.

. Qui sont les victimes de LockBit ?

Un large éventail de cibles, allant des particuliers et des petites entreprises aux grandes sociétés, a été visé.

Selon MalwareBytes, ce logiciel malveillant a été utilisé "plus de deux fois plus que son principal concurrent en 2023".

En novembre 2023, LockBit s'en est pris à la branche américaine de l'Industrial and Commercial Bank of China Financial Services (ICBC FS), l'une des plus grandes institutions financières au monde, ainsi qu'au géant américain de l'aéronautique Boeing.

En 2022, des hôpitaux en France et au Canada ont été ciblés, affectant leur activité et les obligeant parfois à transférer des patients vers d'autres établissements.

"Même si les développeurs de LockBit ont établi des règles stipulant que leur ransomware ne doit pas utilisé contre des infrastructures critiques, il est clair que leurs affiliés les ignorent", écrivait Stacey Cook, analyste de la société américaine de cybersécurité Dragos, dans un rapport publié en 2023.

"Les développeurs de LockBit ne semblent pas s'inquiéter outre-mesure de la responsabilité de leurs affiliés", poursuivait-il.