Dans une percée majeure, une enquête menée par la National Crime Agency (NCA) du Royaume-Uni a dévoilé des liens profonds entre le tristement célèbre gang de ransomware LockBit et Evil Corp, un groupe de cybercriminalité russe soutenu par l’État. Cette découverte souligne l’ampleur alarmante de la menace que représentent les acteurs malveillants russes dans l’espace cybernétique.
Un cybercriminel de haut rang exposé
L’Opération Cronos, un effort international de répression coordonné par la NCA et le FBI, a identifié le ressortissant russe Aleksandr Ryzhenkov comme étant un affilié clé de LockBit, opérant sous le pseudonyme « Beverley ». Mais ce n’est pas tout – les autorités britanniques le considèrent également comme le bras droit de Maksim Yakubets, le fondateur et chef d’Evil Corp.
Yakubets avait déjà été inculpé par le gouvernement américain en 2019 pour son rôle présumé dans le développement et la distribution du malware Dridex. Il est également accusé de fournir une « assistance directe » au gouvernement russe dans ses activités cybercriminelles.
Des sanctions contre les cybercriminels russes
En réponse à ces révélations, le Royaume-Uni, ainsi que les États-Unis et l’Australie, ont imposé des sanctions à Ryzhenkov. Ces mesures rendent illégal pour toute personne affiliée à ces pays de traiter avec lui, y compris de payer une rançon en cas d’attaque ransomware.
De plus, les procureurs américains ont inculpé Ryzhenkov pour des cybercrimes présumés liés au lancement d’attaques de ransomware contre des victimes basées aux États-Unis. Cette action coordonnée démontre la détermination des nations alliées à tenir les cybercriminels responsables de leurs méfaits, où qu’ils se trouvent.
Evil Corp : Des liens privilégiés avec l’État russe
Lors d’un briefing, la NCA a souligné qu’alors que la plupart des hackers russes traqués sont motivés financièrement, Evil Corp entretient une relation « privilégiée » avec l’État russe. Le groupe est souvent chargé de mener des cyberattaques contre des pays de l’OTAN pour le compte du gouvernement russe.
Outre Ryzhenkov, décrit comme le bras droit de Yakubets, la NCA a également identifié Viktor Yakubets, le père de Maksim, et Eduard Benderskiy, beau-père de Maksim et ancien officiel de haut rang du renseignement russe, comme des éléments clés des opérations d’Evil Corp.
LockBit nie tout lien avec Evil Corp
LockBit a toujours nié catégoriquement avoir travaillé avec Evil Corp. Cependant, l’enquête de l’Opération Cronos a démontré de manière irréfutable l’existence de liens étroits entre les deux groupes.
LockBit était très clair sur le fait qu’il n’a jamais travaillé avec Evil Corp, et nous avons pu montrer très clairement qu’ils le font.
– Gavin Webb, responsable de l’enquête pour l’Opération Cronos
Perturbations successives des opérations de LockBit
Cette action de l’Opération Cronos est le dernier épisode en date de la bataille sans relâche entre les autorités cybernétiques internationales et LockBit. En février dernier, une coalition internationale dirigée par la NCA et le FBI a annoncé avoir infiltré le site officiel de LockBit et saisi son infrastructure, y compris le site de fuite sur le dark web que le gang utilise pour lister et faire chanter ses victimes.
Quelques jours seulement après l’annonce de l’opération, LockBit est réapparu sur le dark web avec un nouveau site de fuite et de nouvelles victimes. En mai, l’Opération Cronos a riposté en révélant de nouvelles inculpations contre le ressortissant russe Dmitry Khoroshev pour son implication présumée en tant que créateur, développeur et administrateur de LockBit.
L’impact sur les opérations de ransomware
Selon la NCA, bien que LockBit reste actif, les actions menées jusqu’à présent ont eu un effet significatif sur les opérations de ransomware du gang :
- Le nombre d’affiliés de LockBit est passé d’environ 200 à 70 depuis mai.
- Bien que le gang prétende toujours être actif en publiant de nouvelles victimes sur son site de fuite, la majorité d’entre elles sont en réalité des victimes répétées ou de fausses déclarations.
- L’enquête a révélé de nouveaux détails sur le code source de LockBit et son mode de fonctionnement, notamment le fait que le code était écrit de manière à ne pas supprimer les données d’une victime même si celle-ci payait une rançon, un détail inconnu des affiliés de LockBit.
Bien que la lutte contre les cybercriminels russes soit loin d’être terminée, l’Opération Cronos représente une avancée significative dans les efforts internationaux visant à perturber et à démanteler ces groupes malveillants qui menacent la sécurité des entreprises et des citoyens du monde entier.
