Lockbit "piraté" par l'opération Cronos: derrière la chute du groupe de hackers, une opération mondiale d'envergure

Un effort commun des services spéciaux de dix pays différents. Il fallait bien ça pour venir à bout du groupe de hackers "le plus dangereux du monde". C'est, en tout cas, comme cela qu'Europol qualifie Lockbit. Dans un communiqué, l'agence européenne de police criminelle s'est félicitée d'avoir "forcé l'arrêt des activités" du groupe.

"Dans le cadre d'une avancée significative dans la lutte contre la cybercriminalité, les forces de l'ordre ont perturbé les opérations criminelles du groupe Lockbit, portant ainsi gravement atteinte à ses capacités et à sa crédibilité."

Le nom de code de cette opération internationale? "Cronos". Europol s'est chargée de la coordination, mais c'est la National Crime Agency (NCA) britannique qui a mené le projet. D'ampleur internationale, il a nécessité la participation de prestigieuses agences d'investigation comme le FBI américain ou le Centre de lutte contre les criminalités numériques français (le C3N).

Une enquête qui a duré "des années"

Une étroite collaboration soulignée par Graeme Biggar, le directeur général de la NCA, qui s'est félicité d'avoir "verrouillé Lockbit". De son côté, le directeur du FBI, Christopher Asher Wray, s'est vanté d'un "travail d'enquête innovant" qui a duré "des années". Sans donner de précision sur la date de commencement de l'opération.

Le mardi 20 février, les autorités ont annoncé avoir mis Lockbit "sous contrôle". Le groupe de pirates informatiques était notamment connu pour ses cyberattaques perpétrées contre l'hôpital de Corbeil-Essonne et le groupe d'électronique français Thalès en septembre et octobre 2022.

Organisés comme une véritable entreprise, les membres au cœur de l'organisation de Lockbit se chargaient de la création des logiciels malveillants, avant d'en faire profiter "des affiliés" qui réalisaient les attaques à leur place, moyennant une petite commission.

Selon un rapport de l'Agence nationale de la sécurité des systèmes d'information (ANSSI), le FBI annonçait 1.700 cyberattaques dans le monde depuis 2020. Rapportant un total de 91 millions de dollars (environ 84 millions d'euros) à l'organisation criminelle, issus de rançons. L'AFP indique que le chiffre s'élève à 120 millions de dollars (environ 111 millions d'euros).

Le NCA a annoncé avoir "pris le contrôle" du blog de Lockbit - là où les pirates affichaient leurs victimes. "Ce site hébergera désormais une série d'informations exposant les capacités et les opérations de Lockbit".

Autrement dit, l'institution britannique a décidé de provoquer le groupe de hacker en affichant, sur le blog, les prochaines étapes du démantèlement de Lockbit. La NCA, qui a déjà révélé l'identité de hackers affiliés sur la plateforme, annonce une "fermeture définitive du blog pour le 25 février".

La provocation ne s'arrête pas là puisque les forces de l'ordre ont adopté le design utilisé par les pirates de Lockbit pour promouvoir l'opération policière réussie et diffuser les informations aux victimes. "Le directeur général de la NCA, Graeme Biggar, s'est même vanté d'avoir "piraté les pirates"

Des coups de filet à suivre

"L'infiltration et les perturbations techniques ne sont que le début d'une série d'actions contre Lockbit et ses filiales", poursuit la NCA. Qui se félicite d'avoir gelé plus de 200 comptes de cryptomonnaie liés au groupe - un capital économique certainement important.

Des "coups de filet" devraient se poursuivre en Europe après que deux acteurs de Lockbit aient été arrêtés le 20 février Pologne et en Ukraine. Selon des informations du Parisien, ils pourraient être les financiers du groupe. Leurs identités ne sont pas encore connues.

"Ils servaient de prête-nom et agissaient dans le blanchiment des cryptomonnaies extorquées, plusieurs porte-monnaie électroniques ont été saisis et sont en cours d’estimation", souligne le colonel Pascal Péresse, chef de la division des opérations du C3N à nos confrères du Parisien.

Aux Etats-Unis, aussi, deux accusés sont actuellement en détention provisoire en attendant leur jugement. Ils ont été inculpés pour avoir utilisé LockBit afin de mener des attaques par rançongiciel.

"Lockbit pourrait essayer de reconstruire en entreprise criminelle", prévient le patron de la NCA qui reste prudent et indique que le travail de la coalition ne "s'arrête pas ici".

Tout l'objectif est maintenant de mettre la main sur les têtes pensantes du réseau de Lockbit. Ces dernières font l'objet de mandat d'arrêt internationaux. La possibilité d'une présence en Russie freine toute possibilité de coopération internationale pour les interpeller.

Prochaine étape: le 23 février, la NCA devrait probablement dévoiler l'identité de "LockbitSupp", pour une question "à dix millions de dollars" ironise l'institution. LockbitSupp est le présumé leader du groupe de pirates informatiques. Il avait lui-même mis sa tête à prix à hauteur de... 10 millions de dollars.