2 décembre 2024

Opération Cronos : une collaboration internationale contre le réseau LockBit.

L’opération Cronos a marqué l’histoire de la cybersécurité en 2024. Menées par de nombreuses agences internationales, l’enquête, puis l’intervention des équipes ont réussi à nuire à l’un des réseaux de cybercriminels les plus coriaces, le groupe de hackers LockBit. Cette opération est le fruit d’une coopération mondiale sans précédent. La lutte contre la cybercriminalité a remporté une précieuse bataille contre des hackers professionnels les plus actifs de ces dernières années.

LockBit : un groupe de hackers spécialisé dans le ransomware

Pour comprendre l’importance de cette enquête et l’intervention, faisons le point sur les activités cybercriminelles d’un des groupes de hackers les plus actifs et les plus dangereux. Le réseau LockBit est spécialisé dans le ransomware (rançongiciel en français). Le leader Dmitry Khoroshev et l’un de ses membres, Mikhail Pavlovich Matveev, comptent parmi les hackers les plus recherchés au monde.

Le ransomware : la cyberattaque la plus prolifique pour gagner des millions de dollars

Un ransomware est un virus visant à crypter les données de la victime. Une fois introduit dans le système, il a pour objectif de rendre indisponibles tous les données, outils et programmes et d’interrompre l’activité d’une entreprise ou d’une organisation. Les victimes doivent accepter de payer une rançon pour déverrouiller l’ensemble des données. Des millions de dollars ont été ainsi récupérés par LockBit. Le groupe est présenté comme le responsable de 25 à 33 % des attaques par ransomware survenues dans le monde en 2023.

Le mode opératoire du réseau LockBit

Le gang de hackers LockBit est un réseau particulièrement bien organisé. Créé en 2019, il a pu mener leurs activités pendant 5 ans sans se faire prendre par les autorités. LockBit a ciblé de nombreuses victimes, comme les grandes entreprises, les hôpitaux, les institutions publiques, etc. En France, il est notamment responsable des cyberattaques menées contre les hôpitaux de Corbeil-Essonnes et Versailles en 2022.

Le site officiel LockBit présent sur le Dark Web a publié des menaces de divulgation de données et vendu les informations de ses victimes par la même occasion. Le groupe de hackers ne s’est pas contenté de lancer ces cyberattaques. Toujours sur leur plateforme, LockBit donne accès à tous les pirates une solution clé en main « Ransomware-as-a-Service » (Raas). D’autres hackers peuvent ainsi réaliser des cyberattaques par ransomware, LockBit demandant 20 % des gains obtenus.

L’arrêt soudain des activités de LockBit

Le 19 février 2024, tout s’arrête pour LockBit. Le site officiel des pirates ainsi que des sites partenaires affichent tous une erreur 404. Deux heures plus tard, les sites redeviennent accessibles, mais exposent cette fois un message officiel : « The site is now under control of law enforcement. » Tous les sites sont désormais sous le contrôle de la NCA (National Crime Agency) du Royaume-Uni, mais aussi des États-Unis, Europol et de toutes les autorités participantes à l’opération Cronos.

Le 20 février 2024, l’aspect du site LockBit change encore. Toutes les inculpations, arrestations, informations et tous les communiqués de presse issus de tous les protagonistes de l’intervention sont publiés en ligne. Les autorités ont souhaité montrer toute leur réussite. Arrestations, gel d’infrastructure, avis de recherche, tout a été affiché. L’opération, tenue secrète, s’expose aux yeux du monde entier dans ses moindres détails.

Opération Cronos : une coordination internationale et des objectifs communs

Les cyberattaques de LockBit ont touché de nombreuses victimes à travers le monde. Pour mettre fin aux agissements de ces hackers chevronnés, de nombreuses agences gouvernementales ont travaillé main dans la main.

Une coopération mondiale pour lutter contre la cybercriminalité

L’opération Cronos a réussi à réunir de nombreux acteurs de la cybersécurité à travers le monde. Europol, Eurojust, le FBI, la NCA, l’ANSSI pour la France, ainsi que les polices internationales d’Australie, du Canada, de Finlande, des Pays-Bas, du Japon, de la Suisse, de la Suède, de l’Allemagne et de l’Ukraine se sont réunis pour travailler ensemble afin de démanteler LockBit. 12 états ont pu échanger, transmettre et partager des éléments clés pour parvenir aux objectifs de cette intervention majeure.

Les objectifs de l’opération Cronos

Pour mettre un terme aux agissements du groupe LockBit, l’intervention policière avait trois objectifs majeurs.

  1. Démanteler toute infrastructure technique servant à mener les cyberattaques et à héberger les données volées et toutes les données stockées utiles au fonctionnement du groupe et à ses activités.
  2. Identifier et arrêter les responsables et membres du groupe.
  3. Saisir les fonds financiers du groupe et les sommes obtenues par les rançons.

Le déroulement de l’opération Cronos et les résultats obtenus

L’enquête a été ouverte en avril 2022 et a donné lieu à de nombreuses heures de travail, de réunions et de messages. Le groupe de travail a été hébergé dans les bureaux d’Europol à Londres pour assurer une meilleure coordination entre toutes les équipes concernées.

L’infiltration dans le réseau du plus important groupe de hackers russes

De nombreux experts ont réussi à s’infiltrer dans le réseau LockBit. Leur mission était d’identifier tous les serveurs servant à déployer les ransomwares afin de les éliminer. D’autres recherches ont été menées pour trouver les fonds récoltés et les comptes bancaires du groupe en suivant notamment les transactions en cryptomonnaies.

Outre l’infiltration dans les systèmes, les intervenants ont réalisé une collecte de données massive afin de trouver des preuves numériques. Ces informations ont servi à alimenter les différents chefs d’accusation et à établir la responsabilité des pirates dans les attaques cybercriminelles.

Les résultats obtenus par l’opération Cronos

Toute l’infrastructure LockBit a été saisie (le site vitrine et 22 sites annexes) et 34 serveurs ont pu être fermés à travers le monde. Les chiffres officiels parlent également de la saisie de plus de 200 portefeuilles de cryptomonnaies. Près d’un millier de clés de déchiffrement portant sur des cyberattaques en cours auraient également été récupérées.

Du côté des arrestations, deux membres du groupe ont été arrêtés. Le créateur du réseau, Dmitry Khoroshev, a été officiellement identifié en mai 2024. Si le pirate se cache en Russie, un mandat d’arrêt a été lancé contre lui par le FBI, avec récompense à la clé pour tous ceux qui aideraient à son arrestation. D’autres membres sont eux aussi toujours recherchés.

Aujourd’hui encore (novembre 2024), les données récoltées continuent d’être analysées afin de trouver tous les développeurs, les affiliés et les actifs criminels liés au gang de hackers russes.

Des arrestations multiples depuis le lancement de l’intervention

Depuis le début de l’enquête en 2022 et le lancement de l’opération en février 2024, les enquêteurs continuent d’œuvrer pour démanteler tout le réseau. Cet été, de nombreuses interpellations ont eu lieu par les polices de chaque état. C’est le cas notamment d’un développeur de ransomwares, d’un responsable d’une filiale et d’un acteur dans le blanchiment d’argent. En Espagne, l’administrateur d’un service d’hébergement a également été interpellé, soupçonné de protéger les activités du groupe. Neuf serveurs ont été saisis après cette interpellation.

Le groupe EvilCorp (très actif lui aussi dans les cyberattaques) et ses membres affiliés sont désormais sous le coup de sanctions. L’enquête a pu mettre en avant leur lien avec LockBit. Gel des avoirs, interdictions de voyager, publications des noms des pirates sont autant d’actions mises en place pour mettre la pression sur les hackers et ceux qui, de près ou de loin, collaborent à leurs activités.

Des cyberattaques signées par le groupe toujours en cours

Malgré les efforts de démantèlement menés contre le groupe, il semblerait que le réseau LockBit soit encore actif. La dernière attaque connue en France concerne l’hôpital de Cannes et la fuite de données confidentielles en avril 2024. Le réseau, considéré comme une véritable industrie en cybercriminalité, regroupe de nombreux membres toujours actifs.

Malgré les coups de filet et les différentes saisies par les forces de l’ordre, de nombreux hackers continuent d’œuvrer pour le compte de LockBit. Un logiciel malveillant 4.0 serait d’ailleurs en cours de développement. L’actualité de LockBit est partagée sur le Dark Web, mais aussi sur X. Aujourd’hui, les membres du réseau cherchent à moquer les services américains et à prouver qu’ils sont bel et bien encore présents.

Ce qu’il faut retenir de l’opération Cronos

Deux points essentiels sont à retenir de cette opération d’envergure.

Une collaboration mondiale efficace contre la cybercriminalité

L’union fait la force. C’est ce qu’il faut retenir de cette coalition mondiale menée dans un but commun. 12 pays et de multiples agences ont réussi à se coordonner autour d’une même cause. Le partage des éléments d’enquête et des expertises de chacun reste le meilleur moyen pour lutter efficacement contre un groupe de cybercriminels. L’opération Cronos envoie un message fort aux hackers. Cette collaboration mondiale est un excellent moyen de défense et d’attaque pour lutter contre la cybercriminalité.

Des groupes de hackers difficilement à atteindre

Si LockBit a été affaibli un temps, le groupe continue d’exister. Il ne s’agit plus ici de pirates informatiques œuvrant dans des bureaux secrets. LockBit, comme EvilCorp et d’autres grands groupes de hackers, se présente comme une véritable entreprise cybercriminelle. Il dispose d’un réseau de membres et d’infrastructures tentaculaires disséminés à travers le monde. LockBit propose même un SAV et des salariés pour maintenir les activités à flot.

Si le réseau peut continuer d’exister sans trop d’inquiétudes, c’est aussi parce qu’ils sont protégés par la Russie, un état bien loin de coopérer à la lutte contre la cybercriminalité.

L’opération Cronos marque l’histoire de la cybercriminalité, même si elle n’a pas obtenu le démantèlement complet de LockBit. Les efforts communs et les opérations menées restent positifs. Les différents intervenants devront aussi apprendre de leurs erreurs pour lancer d’autres opérations contre d’autres réseaux de hackers.

Plus

d'articles

30 décembre 2024

Avec le développement des menaces dans le cyberespace, les services secrets ont dû déployer de nouvelles approches pour assurer la […]

26 novembre 2024

Le Black Friday apporte aux consommateurs son lot de réduction et de prix attractifs. À la veille de Noël, cet […]

21 novembre 2024

Les événements liés à la cybersécurité rythment chaque année le planning des experts de la sécurité numérique. Ces grandes réunions […]

8 novembre 2024

Le FBI dispose d’une liste de hackers les plus recherchés au monde. Ces cybercriminels sont réputés pour leurs actions notables […]

21 octobre 2024

Si vous êtes propriétaire d’une voiture Kia, rassurez-vous. La faille de sécurité impliquant de nombreux véhicules n’a été détectée que […]

17 octobre 2024

Le 26 mars dernier, le scandale éclate à la FFF. La Fédération française de Football est victime d’un piratage d’envergure. […]