Souvent présenté comme le groupe de cybercriminels le plus actif et nuisible de la planète, LockBit a été démantelé, le 20 février 2024 à l’occasion d’une opération de police internationale. L’information a été donnée par les autorités de dix pays, dont la France. Cette opération conjointe a été menée par l’Agence de lutte contre la criminalité britannique (NCA), sous le nom de code « Opération Cronos ». Elle a interrompu, à tous les niveaux, les services de LockBit. Selon Europol, 34 serveurs en Europe, en Australie, en Grande-Bretagne, et aux États-Unis ont été mis hors service et 200 comptes de cryptomonnaies, en lien avec LockBit, ont été gelés. La NCA a confirmé que cette action avait compromis l’ensemble de l’entreprise criminelle.
Le groupe le plus actif au monde
Groupe le plus actif de rançongiciels dans le monde, le réseau de hackers LockBit avait été repéré pour la première fois en janvier 2020. Pour rappel, les rançongiciels sont des programmes qui peuvent bloquer des données afin ensuite d’exiger une rançon pour les débloquer. En cas de refus, ces données étaient revendues sur le dark web. Au lieu d’opérer lui-même une opération criminelle d’envergure, LockBit mettait son logiciel malveillant à la disposition de ses affiliés qui étaient des pirates indépendants qui lui reversaient ensuite un pourcentage. LockBit se rémunérait grâce aux paiements initiaux et aux abonnements, ou en récupérant une partie de la rançon obtenue.
À l’inverse d’autres groupes de pirates, LockBit se définissait comme une entreprise professionnelle, sollicitant même des retours de ses affiliés afin d’améliorer son rançongiciel.
Plus d’un milliard de dollars de rançons versées
Le parquet de Paris avait fait état de 2 500 victimes, dont plus de 200 en France. LockBit a ciblé des infrastructures critiques et de grands groupes industriels. Les demandes de rançons pouvaient aller de 5 à 70 millions d’euros. En 2023, les hôpitaux de Corbeil-Essonnes et Versailles avaient d’ailleurs été attaqués, tout comme la branche américaine de l’Industrial and Commercial Bank of China Financial Service (ICBC FS), l’un des plus grands groupes financiers au monde, ou bien le géant Boeing ou l’opération postale britannique. Pour la première fois, les montants versés par les victimes de rançongiciels ont dépassé le milliard de dollars en 2023. En France, LockBit a été à l’origine de 27% des demandes de rançons en 2022 et 2023.
« Inondé d’argent, l’écosystème des rançongiciels a bondi en 2023, tout en continuant à faire évoluer ses tactiques », a expliqué la société de cybersécurité MalwareBytes, dans un rapport publié en février repris par nos confrères de Ouest-France. « Le nombre d’attaques connues a augmenté de 68 %, le montant moyen payé par les victimes a grimpé en flèche et la plus grande demande de rançon de l’année a atteint la somme incroyable de 80 millions de dollars », a-t-elle ajouté.
Quel impact sur les autres groupes de rançongiciel ?
Reste à savoir quel sera l’impact de ce démantèlement de LockBit sur les autres groupes de rançongiciels dans le monde. Ces dernières années, chaque fois qu’une action des forces de l’ordre était menée, certains groupes stoppaient leur activité avant de réapparaitre sous d’autres noms. « Notre travail ne s’arrête pas ici. LockBit pourrait essayer de reconstruire son entreprise criminelle », prévient enfin Graeme Biggar, directeur général de la NCA.