Les forces de police de dix pays, dont la France au travers de la Gendarmerie nationale, ont annoncé ce mardi avoir réussi à démanteler Lockbit à l’occasion d’une opération de police internationale baptisée Cronos. Les autorités ont saisi les espaces numériques du groupe de cybercriminels connu pour ses attaques par rançongiciels.

Un an après, Lockbit subit le même sort que Hive

« Nous avons hacké les hackers ». Ce sont les mots forts employés par Graeme Biggar, le directeur général de la National Crime Agency (NCA). L’agence de lutte contre la criminalité britannique a pu compter sur l’aide des forces de l’ordre des États-Unis, du Canada, de l’Australie, de la France, du Japon, de la Suisse, des Pays-Bas, de la Suède et de l’Allemagne.

Au cours de l’opération, au moins 22 sites liés à Lockbit auraient été mis hors-ligne par Interpol. En parallèle, 34 serveurs ont été démantelés. D’après la NCA, plus de 200 comptes de cryptomonnaies appartenant à LockBit ont été gelés et les enquêteurs ont obtenu un millier clés servant à décrypter les données. Elles pourront prochainement être restituées à leurs propriétaires.

Sur certains des sites saisis, les hackeurs souhaitant s’y connecter ont la possibilité de lire un message des forces de police à leur destination. « Nous avons le code source, les détails des victimes que vous avez attaquées, la somme d’argent extorquée, les données volées, les chats et bien plus encore. Vous pouvez remercier LockBitsupp et son infrastructure défectueuse pour cette situation… nous pourrions vous contacter très bientôt, » indique la note.

Lockbit était connu pour être l’un des « leaders » du Crime-as-a-service. Au lieu de perpétrer de lui-même des attaques informatiques contre ses cibles, le groupe mettait son rançongiciel à disposition de cybercriminels. Ces derniers l’utilisaient pour s’infiltrer dans le système informatique de leur victime, le bloquant, et réclamant par la suite une rançon sous peine de publier leurs données.

Grâce aux versions 2.0 et 3.0 de ce ransomware-as-a service, de nombreux organismes ont été attaqués. En France, on recense le ministère de la Justice mais aussi les hôpitaux de Corbeil-Essonnes et Versailles, tous attaqués en 2022. Plus récemment, c’est ICBC, la plus grande banque chinoise, qui a subi les foudres du logiciel malveillant. En tout, Lockbit serait à l’origine de plus de 2 000 cyberattaques dans le monde.

Pour les autorités, il s’agit d’une deuxième victoire significative dans la lutte contre la cybercriminalité, un an après avoir démantelé un groupe similaire, Hive. Néanmoins, Ivan Kwiatkowski, chercheur en cybersécurité chez Harfanglab, tempère l’impact de ces actions. « Il ne faut pas minimiser cette opération coup de poing, mais malheureusement, il faut malgré tout rester prudents car nous avons vu par le passé de nombreux cas où les groupes trouvent le moyen de revenir, de restructurer leur architecture, et finalement de continuer à œuvrer, » conclut-il.