"Une véritable industrie": ce que l'on sait de Lockbit, les hackers qui ont volé plus de 100 millions d'euros

Une cyberattaque contre l'hôpital de Corbeil-Essonnes. Et un piratage informatique de même ampleur sur Thalès - une entreprise française spécialisée dans l'aérospatiale et la défense. Ces épisodes de septembre et octobre 2022, dont les souvenirs sont encore frais, sont à l'initiative de Lockbit.

Ce groupe de hackers russophone spécialisé dans les rançongiciels faisait l'objet d'une enquête menée par la National Crime Agency (NCA) britannique, le Bureau fédéral d'enquête américain (FBI), Europol et une coalition d'agences de police internationales. Il a officiellement été démantelé ce mardi 20 février. Du moins, ses différents portails en ligne. L'organisme est décrit par les autorités comme le groupe de hackers "le plus nuisible au monde".

Les pirates informatiques, réputés pour leurs techniques d'extorsion, subtilisaient ou verrouillaient les données de leurs victimes, à qui ils réclamaient une rançon. Si cette dernière n'était pas envoyée dans les temps, les données étaient détruites ou rendues publiques. C'est cette technique qui avait été utilisée pendant les cyberattaques contre l'hôpital de Corbeil-Essones et Thalès.

111 millions d'euros

En juin 2023 un rapport, publié par l'Agence nationale de la sécurité des systèmes d'information (ANSSI), son équivalent américain (CISA), le FBI et plusieurs autres organisations similaires, dévoilait l'envergure des attaques de Lockbit.

En France, 80 alertes concernant Lockbit ont été traitées par l'ANSSI depuis 2020, soit 11% de l'intégralité des alertes. Le rapport indiquait aussi "une forte augmentation" de la présence de Lockbit en France en 2022 et 2023. Le groupe était à l'origine de 27% des demandes de rançons dans l'Hexagone ces deux dernières années. C'est plus que n'importe quel autre groupe de ce genre.

"Lockbit est le plus gros groupe de rançongiciels au monde. Dans certains pays, on estime qu'ils sont responsables de 17 à 20% des attaques de ce type", estime Baptiste Robert, hacker éthique, auprès de Tech&Co.

À en croire le rapport, depuis 2020, le FBI a dénombré quelque 1.700 cyberattaques dans le monde, rapportant un total de 91 millions de dollars (environ 84 millions d'euros) à l'organisation criminelle, issus de rançons. Un chiffre qui tend à s'élever autour des 120 millions de dollars (environ 111 millions d'euros) selon l'AFP.

"Une véritable industrie"

"Ce n'est pas juste un gang", poursuit Baptiste Robert. "Ils ont énormément d'argent et des dizaines d'affiliés [...] De façon générale, Lockbit fournit des outils à ses affiliés pour générer des rançongiciels. Les affiliés sont des clients qui réalisent eux-mêmes les attaques. Ils versent, par la suite, une commission à Lockbit, qui fournit l'outil de travail".

Autrement dit: Lockbit est une organisation criminelle autour de laquelle s'articulent différents acteurs, qui réalisent les attaques à sa place. Les cyberattaques sont ensuite centralisées sur le blog de Lockbit, là où le groupe les revendique.

À en croire Baptiste Robert, Lockbit est "une véritable industrie". "C'est le plus bel exemple de cybercriminels qui ont industrialisé leur business. Ils ont un service client et des salariés avec des tâches assignées".

"Pirates piratés": un aveu de faiblesse ?

Malgré sa position ultra-dominante dans le secteur de la cybercriminalité, Lockbit et son site sont désormais "sous le contrôle" des autorités. Lundi 19 février, la NCA, le FBI, Europol et une coalition d'agences de police internationales avaient annoncé avoir démantelé le groupe de hackers dans le cadre de l'opération "Cronos". Quelques heures avant l'officialisation de la nouvelle, mardi 20 février.

Dans un communiqué de presse, le directeur général de la NCA, Graeme Biggar, s'est ainsi vanté d'avoir "piraté les pirates". "Nous avons pris le contrôle de leur infrastructure, saisi leur code source et obtenu des clés qui aideront les victimes à déchiffrer leurs systèmes. À partir d’aujourd’hui (mardi 20 février, ndlr) Lockbit est verrouillé".

Graeme Biggar prévient, néanmoins, que le "travail" de la NCA "ne s'arrête pas ici". "LockBit pourrait essayer de reconstruire son entreprise criminelle", a-t-il indiqué.

La NCA a aussi annoncé l'arrestation de deux acteurs liés à Lockbit en Pologne et en Ukraine, et le gel de "200 comptes de cryptomonnaie liés au groupe". Le ministère américain de la Justice informe que les deux accusés ont été inculpés. Ils seraient responsables d'avoir utilisé LockBit pour mener des attaques par rançongiciel. Les deux suspects sont actuellement en détention et seront jugés aux États-Unis.

"Lockbit ne fait pas de politique"

Pour Mael Sarp, analyste de la menace cyber chez Orange cyberdéfense, cette opération de grande ampleur "ne suffit pas". "Il faut mettre la main sur le cœur de l'équipe, ceux qui orchestrent le travail. Sans ça, Lockbit peut changer de nom et recommencer ses activités avec les mêmes affiliés ou d'autres", déplore-t-il en décryptant le phénomène de "rebranding" (changement de marque).

"Des mandats d’arrêt ont été prononcés pour mettre la main sur les éléments au cœur de Lockbit. Ces derniers se trouvent certainement en Russie. Et pour le moment, sans coopération internationale, on ne peut les arrêter", poursuit-il.

L'analyste indique aussi que "Lockbit ne fait pas de politique" et réalise ces extorsions pour "gagner de l'argent" uniquement. Le groupe de pirates ne cible, par ailleurs, jamais les pays de l'ancien bloc soviétique et se concentre sur les cibles européennes ou américaines.

La NCA indique, aussi, avoir mis la main sur "1000 clés" de déchiffrement. Autant de victimes potentielles pourront donc, prochainement, récupérer gratuitement leurs données subtilisées. Un moindre mal... avant la prochaine cyberattaque?