Les anciens membres du groupe de cybercriminels Trickbot et Conti ont été identifiés par les forces de l’ordre britanniques. Ils sont à l’origine de l’un des malwares les plus dangereux de ces dernières années.

Le Royaume-Uni a décidé de frapper au porte-monnaie des cybercriminels. Les forces de l’ordre britannique, accompagnées des enquêteurs américains, ont annoncé le 9 février avoir gelé les compte en banque de sept membres de célèbres gangs de ransomware. Tous ressortissants russes, ils ont participé à la préparation des attaques, au développement et à la gestion des logiciels malveillants, au vol d’infos ainsi qu’au blanchiment d’argent.

Concrètement, ce sont eux qui font tourner la machine d’un rançongiciel, tandis que les hackers sont plutôt le bras armé. Ces véritables entreprises du crime développent et fournissent le logiciel pour attaquer et bloquer les données de l’entreprise ou l’administration victime. Ils touchent ensuite une commission sur les rançons.

La police britannique a voulu afficher publiquement le nom et le visage des criminels, comme un message pour signaler au monde des hackers qu’ils sont capables de retrouver leur identité. Tous ont été membres du groupe Trickbot, un cheval de Troie spécialisé dans le vol identifiant, actif entre 2016 et 2020. Fort de leur succès, les compères ont fusionné avec le collectif de ransomware Conti, devenant le groupe le plus prolifique en 2021.

Ainsi, la liste se compose de Vitaly Kovalev, Maksim Mikhailov, Valentin Karyagin, Mikhail Iskritskiy, Dmitry Pleshevskiy, Ivan Vakhromeyev, et Valery Sadletski.

Dmitry Pleshevskiy est spécialisé dans l'écriture de code malveillant pour voler les identifiants. // Source : National Crime Agency
Dmitry Pleshevskiy est spécialisé dans l’écriture de code malveillant pour voler les identifiants. // Source : National Crime Agency

Des milliers de victimes en 2021

Conti était le ransomware le plus redouté jusqu’en 2022. Les pirates avaient extorqué plus de 167 millions d’euros en 2021 auprès d’entreprises et administrations touchées par ce logiciel malveillant. Le service de santé publique d’Irlande a été paralysé plusieurs jours après une attaque, entraînant l’interruption de tests sanguins, de radiographies, de scanners, de rendez-vous de radiothérapie et de chimiothérapie.

L’invasion de l’Ukraine par la Russie a mis fin brutalement à leur aventure criminelle. Plusieurs membres s’étaient prononcés en faveur des ambitions impérialistes du Kremlin, sans s’imaginer qu’un associé ukrainien du groupe allait ruiner entièrement toute l’entreprise par représailles. Il publie dans la foulée des déclarations, 60 000 messages internes et le code source du malware, offrant le moyen à toutes les entreprises de cyber d’adapter leur logiciel de protection.

La divulgation de ces échanges a probablement offert des indices à la police britannique. Londres étant une destination privilégiée du milieu criminel russe, il ne serait pas étonnant que les pirates en question disposaient de biens immobiliers ou avaient ouvert des comptes au Royaume-Uni. La dissolution du groupe n’a pas empêché certains membres de continuer leur activité, notamment pour des groupes d’hacktivistes liés au Kremlin. Leurs vacances en Europe sont, en revanche, compromises.


Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !