Plusieurs opérations menées par le FBI et les polices européennes ont permis de perturber l’activité des cybercriminels du ransomware.

Le climat a changé pour les cybercriminels du ransomware. Leurs revenus ont baissé en 2022, le FBI s’est mis à pirater leurs propres sites et la guerre en Ukraine menée par la Russie n’a pas simplifié les relations entre collègues. Si les attaques sont toujours aussi nombreuses, les efforts pour les arrêter ont doublé aussi. Le 2 mars 2023, le président américain Joe Biden a déclaré « que son gouvernement allait utiliser tous ses outils de puissance nationale de manière coordonnée pour protéger notre sécurité nationale, la sécurité publique et la prospérité économique ».

Cela fait suite à une série de victoires récentes des forces de l’ordre en 2023. Le FBI, en collaboration avec Europol, a secrètement infiltré l’infrastructure du gang du ransomware Hive en juillet 2022. Après six mois de surveillance de l’activité du gang, la police fédérale a réussi, en janvier 2023, à démanteler ses sites de paiement et de fuites. L’opération a permis d’éviter le paiement d’une rançon estimée à 130 millions de dollars. Ainsi, le FBI a pu avertir les cibles avant qu’une attaque ne se produise et a obtenu et distribué des clés de décryptage.

En février 2023, l’Agence nationale britannique de lutte contre la criminalité (NCA) a affiché et sanctionné sept cybercriminels russes liés au groupe de ransomwares Trickbot, ainsi qu’à Conti et RYUK. Leurs avoirs ont été gelés et ces individus font désormais l’objet d’interdictions de voyager. Vivre en Russie les protège d’une arrestation, mais cette révélation les empêche d’en sortir au moment où beaucoup aimeraient la quitter.

Six des sept hackers criminels sanctionnés. // Source : National Crime Agency
Six des sept hackers criminels sanctionnés. // Source : National Crime Agency

L’erreur humaine, un facteur déterminant

Pour trouver leur identité, il est courant pour les forces de l’ordre de tenter de s’infiltrer dans ces groupes à travers leurs principaux moyens d’échange : les forums. Sur ces sites spécialisés, les cybercriminels recrutent, revendent des données ou entrent en contact avec d’autres groupes. À force de vivre sur ces plateformes, il leur arrive aussi d’y laisser des indices.

« L’erreur humaine est l’élément sur lequel on compte le plus. Beaucoup d’opérations partent d’une petite révélation lors d’une discussion », indique Livia Tibirna, analyste de la menace chez Sekoia. « C’est en partie lié à la taille de ces groupes. La structure en vogue avec des administrateurs du logiciel malveillant et des affiliés fait que les dirigeants n’ont pas toujours la main sur eux, et c’est là que des erreurs se produisent. »

Parmi tous ces collectifs, Lockbit continue à régner et à enchainer chaque mois des dizaines, voire une centaine parfois, de victimes. Malgré l’arrestation d’un ressortissant russe au Canada, affilié au groupe de ransomware, la structure n’a pas changé et l’activité continue sans remous. « Lockbit est l’un des groupes les mieux organisés. Ils ne touchent pas à la politique, refusent de prendre parti dans la guerre. Leurs affiliés doivent respecter une charte internet, et lorsque des hôpitaux sont touchés, ils s’en déchargent en disant que c’est un affilié qui a mal compris les règles. »

Lockbit avait proposé aux membres d'un forum de se faire tatouer leur logo contre 1000 euros. // Source : Numerama
Lockbit avait proposé aux membres d’un forum de se faire tatouer leur logo contre 1 000 euros. // Source : Numerama

Des disputes en interne

Éviter le gros coup est aussi une règle de survie. En 2021, Revil s’était attaqué à un oléoduc américain, perturbant l’arrivée d’hydrocarbure aux États-Unis. L’administration américaine est directement partie déchiffrer les fichiers et a mis hors ligne leur plateforme. Autre exemple, le collectif Babuk avait attaqué la police de Washington et menaçait de révéler le nom des infiltrés. Un des membres était en désaccord avec ce chantage trop dangereux et a fini par dévoiler le code source de leur malware.

« Dévoiler le coude source est fatal. À partir du moment où il est en ligne, tous les experts en cybersécurité vont l’analyser », nous explique Christine Bejerasco, responsable des sécurités de l’information chez WithSecure « L’histoire ne s’arrête pas là malheureusement. D’autres groupes de cybercriminels vont aussi s’intéresser à ce contenu et travailler dessus pour développer de nouvelles versions. » Les variants de Babuk ont ainsi proliféré après l’accident en interne.

La solution la plus radicale reste l’arrestation, et les coopérations grâce au programme d’Europol ont permis d’intensifier la pression sur les malfaiteurs. Pour pousser les pouvoirs publics à renforcer leur activité contre les cybercriminels, Nicolas Arpagian, expert chez TrendMicro, insiste sur l’importance de se rendre au commissariat. « Plus les victimes iront porter plainte et plus cela deviendra un problème dont les autorités devront s’emparer. Il n’y a pas assez d’enquêteurs spécialisés en France. Or, on voit que toutes les arrestations sont un effort conjoint de forces de l’ordre de plusieurs pays », déclare-t-il.

Pour l’instant, le ransomware continue à prospérer et l’on ne peut pas réellement lui imaginer une fin, tant ce système est devenu efficace et rentable. « Cela fait déjà plus de dix ans que l’on fait face à cette méthode, c’est aujourd’hui celle qui a réussi à mieux perdurer », rapporte Christine Bejerasco. « Et si nous parvenons à perturber leur système, les cybercriminels se déplaceront sur d’autres techniques, comme les infos stealer [des malwares destinés au vol de données], leur force, c’est d’être très flexible. » Comprenez, le problème n’est pas près de disparaitre et il faut s’en protéger.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.