KO définitif pour LockerGoga

De nouvelles arrestations orchestrées par une équipe d’enquête internationale dans la lutte contre le cybercrime, notamment en Ukraine. Ces efforts font suite à l’opération réussie contre les attaques du rançongiciel Lockergoga en 2021, qui avait mené à 12 interpellations.

26 octobre 2021, la SDLC (Service de Lutte contre la Cybercriminalité) de la Police Nationale a initié une collaboration internationale [France, Suisse, Ukraine, Norvège, Etc.] pour contrer la menace grandissante du rançongiciel Lockergoga. Cette collaboration a porté ses fruits, avec des résultats significatifs dans l’affaire, marquée par des saisies et des arrestations clés. Pour rappel, Lockergoga a eu un impact dévastateur, ciblant plus de 2 000 entreprises dans 71 pays, causant des dommages estimés à plus de 100 millions d’euros. En France, la société Altran [Janvier 2019]. Les pirates sont suspectés d’être cachés derrière Dharma, MegaCortex et LockerGoga.

ABONNEZ-VOUS GRATUITEMENT À NOS ACTUALITÉS
Vous aimez nos actus inédites ? ABONNEZ-VOUS A ZATAZ VIA GOOGLE NEWS        Recevez gratuitement, le samedi, PAR MAIL LES ACTUS ZATAZ de la semaine écoulée.

Différents membres de l’équipe cybercriminelle étaient chargés de tâches spécifiques pour infiltrer efficacement les réseaux des victimes. Certains utilisaient des méthodes telles que le phishing, l’attaque par force brute ou l’injection SQL pour accéder aux systèmes. Une fois à l’intérieur, d’autres membres se chargeaient de naviguer discrètement à travers l’infrastructure de l’organisation, s’appuyant sur des outils comme TrickBot, Cobalt Strike ou PowerShell Empire. Cette analyse approfondie de l’infrastructure des victimes pouvait durer des mois, permettant ainsi aux cybercriminels de maximiser l’efficacité de l’attaque par rançongiciel. Les demandes de rançon étaient systématiquement effectuées en bitcoin, et les fonds étaient ensuite blanchis via des services de mixage de cryptomonnaies, rendant difficile la traçabilité de l’origine des fonds.

La semaine dernière, cette coopération a conduit à 5 nouvelles interpellations en Ukraine. L’équipe de la SDLC a effectué des saisies cruciales, incluant des cryptomonnaies et du matériel informatique. Ces arrestations sont le fruit d’une analyse méticuleuse des données numériques et des flux financiers liés à ce réseau de cybercriminalité. Le traçage des cryptomonnaies, un véritable outil pour remonter aux pirates informatiques.

Implication internationale et défis

Parmi les interpellés, une personne était spécifiquement visée par les enquêteurs français et a été placée sous surveillance. Un autre suspect, actuellement en fuite, fait l’objet d’un mandat d’arrêt international.

Malgré les défis imposés par la situation de guerre en Ukraine, la coopération entre les autorités ukrainiennes et l’équipe internationale reste solide et efficace. Ces efforts conjoints soulignent l’importance de la coopération internationale dans la lutte contre la cybercriminalité.

Parmi les victimes de LockerGoga, Altran Technologies fin janvier 2019 , Norsk Hydro ASA (mars 2019) ; Fédération de la police du Royaume-Uni (mars 2019) ; Hexion ou encore Momentive (mars 2019). Les pirates demandaient à être contactés via des courriels créés pour l’occasion.

Ce crypto-ransomware chiffrait les données des ordinateurs des entreprises et des organisations en utilisant AES-256 + RSA-1024 (la note pirate indiquait RSA-4096), puis vous obligez à écrire via les adresses ci-dessus. Depuis le début de sa création LockerGoga était logé en Ukraine.

L’outil pirate, bogué, exécutait un fichier baptisé cipher.exe pour libérer de l’espace disque libre et empêcher la récupération des fichiers par un logiciel de récupération de données. Lorsque des fichiers étaient supprimés sur un système, ils étaient parfois encore disponibles dans l’espace libre du disque dur et pouvaient être récupérés à l’aide d’un logiciel de récupération.

En septembre 2022, les clés et le code récupéré par les autorités a permis de proposer un logiciel de déchiffrement via l’éditeur d’antivirus Bitdefender.

La coopération internationale coordonnée par Europol et Eurojust a joué un rôle central dans l’identification de ces pirates, car les victimes se trouvaient dans différentes zones géographiques à travers le monde. Initiée par les autorités françaises, une équipe commune d’enquête (ECE) a été mise en place en septembre 2019 entre la Norvège, la France, le Royaume-Uni et l’Ukraine avec le soutien financier d’Eurojust et l’assistance des deux agences.

Les partenaires du JIT ont depuis travaillé en étroite collaboration, parallèlement aux enquêtes indépendantes des autorités néerlandaises et américaines, pour découvrir l’ampleur et la complexité réelles des activités criminelles de ces pirates afin d’établir une stratégie commune. Eurojust a créé un centre de coordination pour faciliter la coopération judiciaire transfrontalière pendant la journée d’action. En préparation, sept réunions de coordination ont été organisées.

Le Centre européen de lutte contre la cybercriminalité (EC3) d’Europol a organisé des réunions opérationnelles, fourni un soutien en matière d’investigation numérique, de cryptomonnaie et de logiciels malveillants et facilité l’échange d’informations dans le cadre du groupe de travail conjoint d’action contre la cybercriminalité (J-CAT) hébergé au siège d’Europol à La Haye. Plus de 50 enquêteurs étrangers, dont six spécialistes d’Europol, ont été déployés en Ukraine à l’occasion de la journée d’action afin d’aider la police nationale à mener des mesures d’enquête conjointes.

Un officier de cyberpolice ukrainien a également été détaché auprès d’Europol pendant deux mois pour préparer la journée d’action. Cette opération a été menée dans le cadre de la Plateforme multidisciplinaire européenne contre les menaces criminelles (EMPACT).

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.