Une condamnation entre mafias du « dark web » a fait tomber le groupe de cybercriminels qui a attaqué la Mairie de Séville et des milliers d’entités | Technologie

La Web sombre, le réseau sombre caché aux moteurs de recherche, qui dissimule l’IP (identité des appareils avec lesquels on travaille) et accessible uniquement via des navigateurs spécifiques, n’est pas un monde sans règles, bien qu’il soit la plateforme d’activités criminelles informatiques, de pédophilie, de trafic d’êtres humains. ou vente illégale d’armes et de drogues. Comme toutes les mafias, elles ont leurs règles et les violer entraîne des sanctions. La violation de l’une de ces lois, celle sur la distribution de l’argent obtenu par extorsion, a fait tomber LockBit, la plus grande organisation d’enlèvements et de chantage. Parmi les nombreux délits attribués depuis sa détection en 2019, il a fermé le site Internet de la Mairie de Séville, du Port de Lisbonne, du Bureau du budget de Californie, d’un hôpital pour enfants de Toronto et de milliers d’entreprises. L’opération policière internationale contre ce complot, qui a abouti à deux arrestations en Europe de l’Est, a été possible après sa condamnation dans la société criminelle. Le groupe criminel tente désormais de réapparaître.

La Agence nationale contre la criminalité (NCA) du Royaume-Uni a annoncé le 20 février avoir « pris le contrôle des services LockBit » après avoir infiltré le réseau mafieux dans le cadre d’une opération appelée Cronos. En coordination avec Europol, deux personnes ont été arrêtées en Pologne et en Ukraine et 200 comptes de cryptomonnaies ont été confisqués. Quatre autres acteurs malveillants présumés ont été inculpés aux États-Unis.

« Cette enquête contre le groupe de cybercriminalité le plus dommageable au monde démontre qu’aucune opération criminelle, où qu’elle se déroule et quel que soit son degré d’avancement, n’est hors de portée de l’agence et de nos partenaires. Nous avons piraté aux les pirates [piratas informáticos]; a pris le contrôle de leur infrastructure, obtenu leur code source et décrypté les clés qui aideront les victimes à décrypter leurs systèmes. À partir d’aujourd’hui [20 de febrero]LockBit est bloqué », déclare le directeur de la NCA, Graeme Biggar.

Le directeur de l’Agence fédérale d’investigation (FBI) des États-Unis partage l’euphorie : « Le FBI et nos partenaires ont réussi à perturber l’écosystème criminel LockBit, qui représente l’une des variantes du rançongiciel [extorsión por el secuestro de sistemas informáticos] le plus prolifique au monde.

Mais cette opération policière internationale marque la fin d’un processus déjà entamé au Web sombre et ce fut le premier élément déclencheur du démantèlement de l’équipe criminelle. Comme l’a décrit Sergey Shaykevich, directeur du Check Point Threat Group lors d’une réunion multinationale à Vienne (CPX), l’origine de la chute était un différend sur les bénéfices de l’extorsion qui a été réglé lors d’un procès entre criminels et d’un appel infructueux qui a conduit à une condamnation pour disparition. “LockBit a été bloqué sur les forums [de la dark web] et puis il est tombé. «C’est un double coup dur», résume-t-il.

LockBit et d’autres organisations similaires utilisent rançongiciel en tant que service (RaaS). Selon la société de sécurité Kasperskysont des programmes accessibles via le Web sombre, comme les applications habituelles des environnements de travail web classiques ou propres. « Les parties intéressées laissent une caution pour utiliser les programmes souscrits. “Le paiement des rançons est partagé entre l’équipe de développeurs de LockBit et les attaquants, qui reçoivent jusqu’aux trois quarts de l’extorsion une semaine plus tard si les objectifs ont été atteints.”

Shaykevich rapporte que le litige qui a donné lieu au procès contre LockBit s’élevait à 20 millions d’euros. «La réputation dans rançongiciel C’est la chose la plus importante », commente le responsable des menaces de Check Point pour expliquer comment un désaccord entre criminels a conduit à la chute d’un géant de la cybercriminalité.

L’une des dernières victimes du groupe a été la Mairie de Séville, à laquelle LockBit a réclamé plus d’un million et demi d’euros pour la récupération des systèmes informatiques municipaux en septembre dernier. Le conseiller pour la transformation numérique, Juan Bueno, a déclaré après l’enlèvement que les agresseurs étaient « d’origine néerlandaise ».

L’événement et la première attribution de l’édile, repris par de nombreux médias, ont montré que la Mairie manquait de la protection nécessaire et que le responsable de la Transformation Numérique ignorait LockBit, « l’organisation de rançongiciel le plus prolifique au monde», selon le ministre britannique de l’Intérieur, James Cleverly.

« De Hollande ? Non non Non. La plupart sont basés en Russie. Les deux personnes arrêtées en Pologne et en Ukraine ne sont pas les membres clés qui se trouvent en Russie», explique Shaykevitch.

Cette fausse origine néerlandaise faisait référence à l’emplacement du dernier serveur d’où provenait l’e-mail contenant le lien malveillant ayant conduit à l’enlèvement. Ces systèmes informatiques pour le trafic de données, dans le le Web sombre, Ils sont utilisés pour un cryptage successif qui empêche le suivi. Selon l’ANC, l’opération Cronos Cela a conduit au démantèlement de 28 serveurs LockBit.

Une possible relance

Cependant, le procès sur l’Internet sombre et l’opération policière internationale qui a suivi n’impliquent pas la fin de toute l’infrastructure LockBit, qui aspire à continuer sur le marché des enlèvements et des extorsions car elles représentent, selon les estimations de Shaykevich, plus de 200 millions. euros de revenus chaque année.

Un responsable présumé du groupe a déclaré dans un communiqué que l’intervention de la police a été possible en raison d’une « vulnérabilité dans le langage de programmation PHP ». Ce nom fait référence au système open source Hypertext Preprocessor, courant dans le développement de pages Web. “Tous les autres serveurs avec des blogs de sauvegarde sur lesquels PHP n’est pas installé n’ont pas été affectés et continueront à fournir des données volées aux entreprises attaquées”, indique la déclaration présumée en anglais et en russe. pirate.

Les sociétés de sécurité ont déjà détecté ces tentatives de recomposition, mais s’interrogent sur la viabilité de continuer sous le même nom après la crise de réputation criminelle générée par le conflit dans le Web sombre et après avoir montré une vulnérabilité exploitée par la police internationale. « Tant que les gens ne seront pas arrêtés, ils changeront très probablement et construiront une nouvelle organisation avec un nouveau nom. Mais le pas qui a été franchi est important et montre que les forces de l’ordre fonctionnent et que l’on peut être puni », explique Shaykevitch.

Christopher Asher Wray, directeur du FBI, abonde dans le même sens : « Cette opération [Cronos] Cela démontre à la fois notre capacité et notre engagement à défendre la cybersécurité contre tout acteur malveillant cherchant à affecter notre mode de vie. « Nous continuerons à travailler avec nos alliés nationaux et internationaux pour identifier, contrecarrer et dissuader les cybermenaces, et pour demander des comptes à leurs auteurs. »

Vous pouvez suivre Technologie EL PAÍS dans Facebook oui X ou inscrivez-vous ici pour recevoir notre bulletin d’information semanal.

_