La National Crime Agency (NCA) du Royaume-Uni a démasqué l’administrateur et développeur de l’opération de rançongiciel LockBit, révélant qu’il s’agissait d’un ressortissant russe de 31 ans nommé Dmitri Yurievitch Khoroshev.
En outre, Khoroshev a été sanctionné par le Bureau britannique des Affaires étrangères, du Commonwealth et du Développement (FCD), l’Office of Foreign Assets Control (OFAC) du Département du Trésor américain et le Département australien des Affaires étrangères.
Europol, dans un communiqué de presse, a déclaré que les autorités sont en possession de plus de 2 500 clés de décryptage et continuent de contacter les victimes de LockBit pour leur offrir leur soutien.
Khoroshev, qui s’appelait LockBitSupp et putinkrab, a également fait l’objet de gels d’avoirs et d’interdictions de voyager, le Département d’État américain offrant une récompense pouvant atteindre 10 millions de dollars pour toute information conduisant à son arrestation et/ou sa condamnation.
Auparavant, l’agence avait annoncé des offres de récompense allant jusqu’à 15 millions de dollars pour obtenir des informations permettant d’identifier et de localiser les principaux dirigeants du groupe de variantes du ransomware LockBit, ainsi que des informations conduisant à l’arrestation et/ou à la condamnation des membres du groupe.
Parallèlement, un acte d’accusation dévoilé par le ministère de la Justice (DoJ) a inculpé Khoroshev de 26 chefs d’accusation, dont un chef de complot en vue de commettre une fraude, d’extorsion et d’activités connexes liées aux ordinateurs ; un chef d’accusation de complot en vue de commettre une fraude électronique ; huit chefs de dommages intentionnels à un ordinateur protégé ; huit chefs d’accusation d’extorsion concernant des informations confidentielles provenant d’un ordinateur protégé ; et huit chefs d’accusation d’extorsion en relation avec des dommages causés à un ordinateur protégé.
Au total, les accusations sont passibles d’une peine maximale de 185 ans de prison. Chacune des accusations entraîne en outre une sanction pécuniaire correspondant au montant le plus élevé entre 250 000 $, un gain pécuniaire pour le contrevenant ou un préjudice pécuniaire pour la victime.
Avec le dernier acte d’accusation, un total de six membres affiliés au complot LockBit ont été inculpés, dont Mikhail Vasiliev, Mikhail Matveev, Ruslan Magomedovich Astamirov, Artur Sungatov et Ivan Kondratyev.
“L’annonce d’aujourd’hui met un autre gros clou dans le cercueil de LockBit et notre enquête se poursuit”, a déclaré le directeur général de la NCA, Graeme Biggar. “Nous ciblons également désormais les filiales qui ont utilisé les services LockBit pour infliger des attaques de ransomware dévastatrices contre des écoles, des hôpitaux et de grandes entreprises du monde entier.”
LockBit, qui était l’un des groupes de ransomware-as-a-service (RaaS) les plus prolifiques, a été démantelé dans le cadre d’une opération coordonnée baptisée Cronos plus tôt en février. On estime qu’il a ciblé plus de 2 500 victimes dans le monde et reçu plus de 500 millions de dollars en rançons.
« Le ransomware LockBit a été utilisé contre des entreprises australiennes, britanniques et américaines, représentant 18 % du total des incidents de ransomware signalés en Australie en 2022-2023 et 119 victimes signalées en Australie », a déclaré Penny Wong, ministre des Affaires étrangères de l’Australie.
Dans le cadre du modèle commercial RaaS, LockBit concède sous licence son logiciel ransomware à des sociétés affiliées en échange d’une réduction de 80 % des rançons payées. Le groupe de cybercriminalité est également connu pour ses tactiques de double extorsion, où des données sensibles sont exfiltrées des réseaux des victimes avant de chiffrer les systèmes informatiques et d’exiger le paiement d’une rançon.
Khoroshev, qui a lancé LockBit vers septembre 2019, aurait généré au moins 100 millions de dollars de décaissements dans le cadre du programme au cours des quatre dernières années.
“Le véritable impact de la criminalité de LockBit était auparavant inconnu, mais les données obtenues à partir de leurs systèmes ont montré qu’entre juin 2022 et février 2024, plus de 7 000 attaques ont été organisées en utilisant leurs services”, a déclaré la NCA. “Les cinq pays les plus touchés sont les Etats-Unis, le Royaume-Uni, la France, l’Allemagne et la Chine.”
Les tentatives de LockBit de refaire surface après l’action des forces de l’ordre ont au mieux échoué, ce qui l’a incité à publier d’anciennes et fausses victimes sur son nouveau site de fuite de données.
“LockBit a créé un nouveau site de fuite sur lequel ils ont gonflé l’activité apparente en publiant les victimes ciblées avant que la NCA ne prenne le contrôle de ses services en février, ainsi qu’en s’attribuant le mérite des attaques perpétrées à l’aide d’autres souches de ransomware”, a noté l’agence.
On estime que le programme RaaS comptait 194 affiliés jusqu’au 24 février, parmi lesquels 148 ont organisé des attaques et 119 ont engagé des négociations de rançon avec les victimes.
“Sur les 119 qui ont entamé les négociations, il y en a 39 qui ne semblent jamais avoir reçu de rançon”, a noté l’ANC. “Soixante-quinze personnes n’ont engagé aucune négociation et ne semblent donc pas non plus avoir reçu de rançon.”
Le nombre d’affiliés actifs de LockBit est depuis tombé à 69, a indiqué la NCA, ajoutant que LockBit ne supprimait pas systématiquement les données volées une fois la rançon payée et qu’elle avait découvert de nombreux cas où le décrypteur fourni aux victimes ne fonctionnait pas comme prévu.
“En tant que chef du groupe LockBit et développeur du ransomware LockBit, Khoroshev a exercé diverses fonctions opérationnelles et administratives pour le groupe de cybercriminalité et a bénéficié financièrement des attaques du ransomware LockBit”, a déclaré le département du Trésor américain.
“Khoroshev a facilité la mise à niveau de l’infrastructure de LockBit, recruté de nouveaux développeurs pour le ransomware et géré les filiales de LockBit. Il est également responsable des efforts de LockBit pour poursuivre ses opérations après leur perturbation par les États-Unis et leurs alliés plus tôt cette année.”
