Les autorités ont arrêté quatre membres présumés du gang du ransomware LockBit au cours de la troisième phase de l’effort international d’application de la loi baptisé Opération Cronos.
Europol a annoncé mardi que quatre nouvelles arrestations avaient été effectuées dans le cadre de la lutte contre LockBit, l’un des groupes de ransomware-as-a-service les plus prolifiques dans le paysage des menaces. Les arrestations ont été effectuées dans le cadre de la troisième phase de l’opération Cronos, un effort conjoint des forces de l’ordre qui a temporairement perturbé les opérations de LockBit plus tôt cette année.
Europol a déclaré que les autorités françaises avaient arrêté un développeur présumé du ransomware Lockbit et que les autorités britanniques avaient arrêté deux acteurs menaçants pour avoir prétendument soutenu les activités de la filiale LockBit. De plus, Europol a déclaré que les autorités espagnoles avaient arrêté un administrateur présumé qui dirigeait le service d’hébergement à toute épreuve de LockBit. Les forces de l’ordre n’ont pas identifié les quatre suspects au moment de mettre sous presse.
L’opération Cronos a été annoncée pour la première fois en février après que l’opération internationale, menée par la National Crime Agency (NCA) du Royaume-Uni, ait réussi à saisir les sites Web, les serveurs, le code source et les clés de décryptage de LockBit. La nouvelle des récentes arrestations a été initialement taquinée par les forces de l’ordre sur l’un des sites de fuite de LockBit saisis dont les autorités ont pris le contrôle lors de la phase 1.
Alors que les fournisseurs et les chercheurs ont confirmé que l’opération avait perturbé l’activité de LockBit, le groupe de ransomwares a rapidement repris ses opérations. Au cours de la deuxième phase, les autorités ont dénoncé et sanctionné le chef présumé de LockBit, Dimitry Yuryevich Khoroshev, un ressortissant russe connu dans les cercles de cybercriminalité sous le nom de LockBitSupp.
Bien que Khoroshev n’ait pas été arrêté, les experts en sécurité informatique ont convenu que la révélation de son identité avait réussi car cela limitait potentiellement sa capacité à créer un autre groupe de ransomwares et dissuadait d’autres cybercriminels de travailler avec lui.
Mardi, Europol a également annoncé que les autorités australiennes, britanniques et américaines avaient sanctionné un acteur menaçant qui, selon la NCA, est une filiale prolifique de LockBit et lié à Evil Corp.
Au total, les autorités ont sanctionné 23 cybercriminels présumés au cours de la troisième phase de l’opération Cronos. Seize d’entre eux étaient liés à Evil Corp. La NCA a ajouté que les forces de l’ordre ont découvert un lien entre LockBit et Evil Corp malgré “les affirmations selon lesquelles les deux groupes de ransomwares ne travaillent pas ensemble”.
Dans un communiqué de presse distinct publié mardi, la NCA a déclaré qu’Evil Corp était apparu en 2014 comme un « groupe de criminalité financière centré sur la famille à Moscou », mais s’est transformé en une opération cybercriminelle importante qui a extorqué au moins 300 millions de dollars aux organisations victimes dans le monde entier, y compris celles du secteur de la santé. et les secteurs gouvernementaux. L’agence a ajouté que certains membres d’Evil Corp avaient des liens avec le gouvernement russe.
Mardi également, le ministère américain de la Justice a dévoilé un acte d’accusation contre un ressortissant russe et membre clé présumé d’Evil Corp, nommé Aleksandr Viktorovich Ryzhenko. Il est accusé d’avoir utilisé la variante du ransomware BitPaymer contre de « nombreuses » organisations victimes à travers les États-Unis depuis au moins 2017.
L’acte d’accusation non scellé indiquait que Ryzhenko avait utilisé le phishing, les logiciels malveillants et l’exploitation des vulnérabilités pour obtenir un premier accès aux organisations victimes avant de déployer un ransomware. Ryzhenko est accusé d’avoir exigé des millions de dollars de rançon. En plus des accusations, le ministère de la Justice a ajouté Ryzhenko à sa liste de ressortissants spécialement désignés, ce qui bloque toute propriété qu’il détient aux États-Unis et comprend des sanctions financières.
Jon DiMaggio, stratège en chef de la sécurité chez Analyst1, fournisseur de renseignements sur les menaces, a déclaré à TechTarget Editorial que même si les opérations de LockBit ont été considérablement perturbées par l’opération Cronos et les récentes arrestations, il est difficile de dire dans quelle mesure les actions de mardi seront efficaces pour réprimer Evil Corp. les sanctions prononcées contre les membres d’Evil Corp pourraient dissuader d’autres cybercriminels de travailler avec eux, ce qui entraînerait une diminution de l’activité du groupe.
« Evil Corp, telle qu’elle existe aujourd’hui, est plutôt une équipe hybride qui travaille avec d’autres fournisseurs RaaS comme LockBit. La grande différence est qu’Evil Corp ne dispose pas de son propre programme, de son infrastructure et de ses opérations associées qui reposent sur la confiance et la coopération d’autres. criminels”, a déclaré DiMaggio. “Ils n’ont pas besoin de recruter d’autres pirates informatiques ou de construire un empire basé sur leur nom et leur réputation. Ils peuvent simplement se tourner vers n’importe quel autre fournisseur RaaS qui les acceptera dans ses opérations. Pour cette raison, en dehors d’une arrestation, il Ce n’est pas grand-chose qui empêchera l’équipe de poursuivre ses efforts.
Arielle Waldman est rédactrice pour TechTarget Editorial couvrant la sécurité des entreprises.