AccueilActualités informatiqueLockerGoga : la police prend des mesures contre un gang international de...

LockerGoga : la police prend des mesures contre un gang international de ransomware

Les services répressifs de sept pays européens, des États-Unis et de l’Union européenne ont arrêté des membres présumés d’un groupe criminel de ransomware actif depuis plusieurs années. Les enquêteurs accusent les 12 personnes arrêtées d’avoir causé d’importantes perturbations et le « chaos » à des entreprises d’infrastructures critiques en Europe et aux États-Unis, par exemple. Au total, plus de 1800 victimes dans 71 pays ont été touchées par ces cyberattaques.

« Les raids ont eu lieu aux premières heures du 26 octobre en Ukraine et en Suisse », a déclaré Europol vendredi. La plupart des suspects arrêtés étaient considérés comme des « cibles de grande valeur, car ils font l’objet d’enquêtes dans plusieurs affaires très médiatisées dans différentes juridictions ». Plus de 52 000 dollars en espèces et cinq véhicules de luxe ont été saisis dans le cadre de ces raids, a-t-il précisé. Un certain nombre d’appareils électroniques font actuellement l’objet d’un examen médico-légal afin de préserver les preuves et d’obtenir de nouvelles pistes d’enquête.

Sommaire

Selon Europol, les « cyberacteurs » arrêtés sont connus pour avoir utilisé les chevaux de Troie d’extorsion LockerGoga, MegaCortex et Dharma, entre autres. L’autorité basée à La Haye n’a pas fourni d’informations sur les victimes.

Toutefois, le gang qui utilisait principalement LockerGoga serait par exemple à l’origine de la cyberattaque dont a été victime l’entreprise norvégienne d’aluminium Norsk Hydro en mars 2019, qui a dû passer la majeure partie de sa production en mode manuel en conséquence. La société française de conseil industriel Altran aurait également été touchée par le logiciel malveillant en janvier de la même année. Selon les experts en cybersécurité, les entreprises chimiques américaines Hexion et Momentive ont également été touchées.

Les suspects « ont tous tenu des rôles différents dans ces organisations criminelles professionnelles et bien organisées », précise Europol. « Certains de ces criminels ont cherché à pénétrer le réseau et ont utilisé de multiples mécanismes pour compromettre les réseaux informatiques, notamment des attaques par force brute, des injections SQL, des identifiants volés et des e-mails de phishing avec des pièces jointes malveillantes. »

Une fois qu’ils ont pénétré dans un réseau, certains des pirates se sont attachés à se déplacer librement dans les ordinateurs reliés, en utilisant des logiciels malveillants tels que Trickbot et des outils commerciaux tels que Cobalt Strike ou PowerShell Empire « pour ne pas être détectés et obtenir un accès supplémentaire ». Les coupables auraient ensuite persévéré dans les systèmes compromis, parfois pendant des mois, à la recherche d’autres vulnérabilités dans les réseaux informatiques, « avant d’essayer de monnayer l’infection en utilisant un ransomware ».

Certaines des personnes interrogées sont soupçonnées d’être responsables du blanchiment des rançons : elles étaient censées faire transiter les sommes extorquées en bitcoins par des « services de mélange » spéciaux avant que les gains mal acquis ne soient versés en espèces.

Les autorités françaises ont lancé l’initiative de contre-opération en septembre 2019 en mettant en place une équipe d’enquête conjointe avec la Norvège, la France, le Royaume-Uni et l’Ukraine, avec le soutien financier du bureau du procureur de l’UE Eurojust et une assistance supplémentaire d’Europol. Les partenaires ont depuis travaillé en étroite collaboration, parallèlement à des enquêtes indépendantes menées par les autorités néerlandaises et américaines, pour découvrir l’ampleur et la complexité de l’activité criminelle et élaborer une stratégie commune.

Le Centre européen de lutte contre la cybercriminalité (EC3) d’Europol a apporté son soutien dans des domaines tels que la criminalistique numérique, les crypto-monnaies et les logiciels malveillants, et a facilité le partage d’informations, selon l’agence. Plus de 50 enquêteurs ont été envoyés en Ukraine le jour du raid pour aider la police nationale de ce pays à mener des opérations conjointes. En Allemagne, le quartier général de la police de Reutlingen a été impliqué. Les autorités chargées de la sécurité, dont Europol, avaient déjà démantelé un gang de ransomware ukrainien en octobre seulement.

Plus d'articles