LockBit a été associé à des attaques contre le Royal Mail britannique, le National Health Service britannique, le constructeur d'avions Boeing, le cabinet d'avocats international Allen and Overy et la plus grande banque chinoise, ICBC. (Photo: 123RF)

Les forces de l'ordre de plusieurs pays, dont le Canada, ont infiltré et perturbé LockBit, un syndicat prolifique de rançongiciel à l'origine de cyberattaques dans le monde entier, a déclaré mardi l'Agence nationale britannique de lutte contre la criminalité.

L'agence a indiqué avoir mené une opération internationale ciblant LockBit, qui fournit des rançongiciels en tant que service à des «affiliés» qui infectent les réseaux des victimes avec ces logiciels malveillants paralysant les ordinateurs et négocient des rançons. Le groupe a été associé à des milliers d'attaques depuis 2019.

L'opération a mené à l'arrestation de deux personnes en Pologne et en Ukraine, ont déclaré les responsables lors d'une conférence de presse commune. Le ministère de la Justice a quant à lui publié des actes d'accusation à l'encontre de deux autres personnes, toutes deux de nationalité russe. Les autorités ont déclaré avoir obtenu un «accès complet» aux systèmes de LockBit en prenant le contrôle de l'infrastructure du gang et en saisissant son code source.

«Nous avons piraté les pirates, s'est réjoui Graeme Biggar, directeur général de la National Crime Agency, lors d'une conférence de presse à Londres. LockBit a été bloqué.»

Quelques heures avant l'annonce, la page d'accueil du site de LockBit sur le darkweb avait été remplacée par les mots «ce site est désormais sous le contrôle des forces de l'ordre», à côté des drapeaux du Royaume-Uni, des États-Unis et de plusieurs autres pays.

Le message indique que le site est sous le contrôle de l'Agence nationale de lutte contre la criminalité (National Crime Agency) du Royaume-Uni, qui travaille en étroite collaboration avec le FBI et le groupe de travail international chargé de l'application de la loi, l'opération Cronos.

Il s'agit d'une «opération en cours et en développement» à laquelle participent également des agences d'Allemagne, de France, du Japon, d'Australie, de Nouvelle-Zélande et du Canada, entre autres, y compris Europol.

Cette annonce porte à cinq le nombre de personnes inculpées par les États-Unis depuis le début de l'opération. Trois Russes ont déjà été inculpés et deux d'entre eux ont été placés en détention, l'un au Canada et l'autre aux États-Unis.

«Aujourd'hui, nous avons renversé la vapeur face à ces cybercriminels», a déclaré le procureur américain Philip Sellinger lors de la conférence de presse.

Dans un document datant de juin 2023, le Centre canadien pour la cybersécurité écrit que la «première infection par Lockbit relevée au Canada est survenue en mars 2020. En 2022, Lockbit était associé à 22% de tous les incidents liés à des rançongiciels».

LockBit, qui opère depuis 2019, a été le syndicat de rançongiciel le plus prolifique deux années de suite. Le groupe a été à l'origine de 23% des quelque 4000 attaques menées dans le monde l'an dernier, au cours desquelles des gangs criminels ont affiché des données volées à des victimes pour extorquer un paiement, selon la société de cybersécurité Palo Alto Networks.

Rare opération cybernétique offensive pour l'agence britannique de lutte contre la criminalité, l'opération visait à voler toutes les données de LockBit, puis à détruire son infrastructure, ce qui a entraîné une «dégradation importante» de la menace cybercriminelle. 

LockBit est dominé par des russophones et ne s'attaque pas aux anciennes nations soviétiques. Le syndicat fournit à ses clients la plateforme et les logiciels malveillants nécessaires pour mener des attaques et collecter des rançons.

Il a été associé à des attaques contre le Royal Mail britannique, le National Health Service britannique, le constructeur d'avions Boeing, le cabinet d'avocats international Allen and Overy et la plus grande banque chinoise, ICBC.

En juin dernier, les agences fédérales américaines ont publié un avis qui attribuait à LockBit environ 1700 attaques de rançongiciel aux États-Unis depuis 2020 et indiquait que les victimes comprenaient «des gouvernements municipaux, des gouvernements de comté, des établissements publics d'enseignement supérieur et des écoles primaires et secondaires, ainsi que des services d'urgence».

Un responsable de la NCA a qualifié LockBit d'«Instagram ou de Rolls-Royce» des rançongiciels et a déclaré que le but de l'opération était de discréditer le syndicat et d'«oblitérer sa réputation».

«S'attaquer à la marque est aussi important que de s'attaquer à l'infrastructure», a déclaré un responsable de la NCA, ajoutant que le but de l'opération était de «semer la méfiance parmi tous les utilisateurs criminels, de briser leur crédibilité».

Le rançongiciel est la forme de cybercriminalité la plus coûteuse et la plus perturbatrice, paralysant les administrations locales, les systèmes judiciaires, les hôpitaux et les écoles, ainsi que les entreprises. Il est difficile à combattre car la plupart des gangs sont basés dans les anciens États soviétiques et hors de portée de la justice occidentale. Les services répressifs ont récemment remporté quelques succès contre les gangs de rançongiciels, notamment l'opération du FBI contre le syndicat Hive. Mais les criminels se regroupent et changent de nom. 

Le Centre national de cybersécurité britannique a déjà prévenu que les rançongiciels restaient l'une des plus grandes menaces cybernétiques auxquelles le Royaume-Uni était confronté et a exhorté les particuliers et les organisations à ne pas payer de rançon s'ils étaient pris pour cible.