Ransomware LockBit : arrestation du développeur clé, Rostislav Panev

Posted On 14 Jan 2025

Les autorités américaines accusent Rostislav Panev, 51 ans, d’être le cerveau derrière LockBit, un ransomware qui a sévi de 2019 à 2024, en violation de la loi américaine sur la fraude informatique (Computer Fraud and Abuse Act). Une plainte criminelle modifiée, déposée dans le district du New Jersey, a été rendue publique, accusant ce citoyen binationale russe et israélien de développement pour le groupe LockBit.

Panev a été arrêté en août 2024 en Israël à la suite d’une demande d’arrestation provisoire des États-Unis en vue de son extradition, et il est actuellement en détention en Israël en attendant son extradition. Panev est accusé de complot pour commettre des cyberattaques et d’extorsion via l’utilisation d’outils malveillants.

Une avancée majeure dans la lutte contre le ransomware LockBit ? Rostislav Panev, citoyen russe et israélien, est soupçonné d’avoir conçu et développé LockBit, un des ransomware les plus destructeurs de ces dernières années. Ce logiciel malveillant a infecté plus de 2 500 cibles dans 120 pays, causant des milliards de dollars de pertes et paralysant des infrastructures vitales comme des hôpitaux et des écoles.

LockBit : une arme numérique redoutable

Le bad hacker LockBit, lancé en 2019, a fait ses débuts en ciblant principalement des petites entreprises et des institutions peu protégées, souvent via des campagnes de courriels malveillants (phishing/hameçonnage). Pendant cette période, le groupe a rapidement recruté des affiliés et a structuré son opération autour de développeurs comme Rostislav Panev, qui étaient responsables de la création de versions personnalisées du malware. Les affiliés utilisaient ensuite ces versions pour mener des attaques ciblées. Initialement, ses attaques utilisaient des méthodes relativement simples comme des exploits de vulnérabilités connues dans les logiciels. Cependant, il s’est rapidement perfectionné pour devenir l’un des ransomware les plus actifs et sophistiqués. Sa force résidait dans son modèle « Ransomware-as-a-Service » (RaaS), permettant à des affiliés de louer son infrastructure pour attaquer des cibles variées.

Les principales caractéristiques de LockBit incluent le contournement des antivirus. Le code est conçu pour éviter les systèmes de sécurité, rendant sa détection extrêmement difficile. Une fois dans un réseau, LockBit se répandait rapidement, chiffrant les données et exigeant des rançons. Panev lui-même a reconnu avoir développé un outil qui envoyait les demandes de rançon directement sur les imprimantes des victimes.

Entre 2019 et 2024, LockBit a frappé des cibles allant de petites entreprises à des multinationales, générant des revenus colossaux. Les enquêteurs estiment que Panev aurait personnellement gagné environ 230 000 $ via des transferts de crypto-monnaies.

« En 2024, LockBit avait attaqué plus de 2 500 cibles dans 120 pays, causant des milliards de dollars de dommages. »

Une opération internationale pour mettre fin à LockBit

En août 2024, Panev a été arrêté en Israël après une longue traque internationale orchestrée par les autorités américaines en collaboration avec Interpol et les services de renseignement israéliens. Cette traque a impliqué un partage d’informations cruciales entre plusieurs pays et l’utilisation d’outils avancés de surveillance pour retracer ses activités en ligne et ses mouvements physiques. Lors de son arrestation, le code source de LockBit a été trouvé sur l’ordinateur de Panev. Des échanges entre Panev et Dmitry Khoroshev, présenté comme l’administrateur du groupe récupérés.

Ces éléments ont permis d’établir son rôle de développeur principal. La plainte allègue également que Panev a échangé des messages directs via les forums XSS et RAMP avec l’administrateur principal de LockBit, qui, dans un acte d’accusation rendu public dans le district du New Jersey en mai, aux États-Unis, serait Dimitry Yuryevich Khoroshev (Дмитрий Юрьевич Хорошев), également connu sous le nom de LockBitSupp, LockBit et putinkrab.

Dans ces messages, Panev et l’administrateur principal de LockBit ont discuté du travail à effectuer sur le générateur et le panneau de contrôle de LockBit. Les documents judiciaires indiquent en outre qu’entre juin 2022 et février 2024, l’administrateur principal de LockBit a effectué une série de transferts de cryptomonnaie, blanchis via un ou plusieurs services illicites de mélange de cryptomonnaies, d’environ 10 000 $ par mois vers un portefeuille de cryptomonnaies appartenant à Panev.

LockBit en chiffre

Selon l'excellent outil Ransomware Live, LockBit 3 a impacté 1 985 entreprises à travers le monde, dont 77 en France. Huit sociétés, en ce début d'année 2025, figurent déjà sur les blogs de LockBit. En ajoutant les chiffres de LockBit 1 (101) et LockBit 2 (1 096), et d'après les données de ZATAZ (corroborées par plusieurs sources internes et externes, notamment ransomwatch.telemetry.ltd, ransomware.live et ransomfeed.it), les pirates dépassent désormais les 3 000 victimes connues.

Ces transferts ont représenté plus de 230 000 dollars au cours de cette période. Dans des entretiens avec les autorités israéliennes après son arrestation en août, Panev a admis avoir effectué des travaux de codage, de développement et de conseil pour le groupe LockBit et avoir reçu des paiements réguliers en cryptomonnaie pour ce travail, ce qui correspond aux transferts identifiés par les autorités américaines.

Parmi les travaux que Panev a admis avoir effectués pour le groupe LockBit figuraient le développement de code pour désactiver les logiciels antivirus, pour déployer des logiciels malveillants sur plusieurs ordinateurs connectés à un réseau de victimes et pour imprimer la note de rançon de LockBit sur toutes les imprimantes connectées à un réseau de victimes.

Panev a également admis avoir écrit et maintenu le code malveillant de LockBit et avoir fourni des conseils techniques au groupe LockBit. Selon la plainte Panev aurait conçu des outils comme le « StealBit », utilisé pour l’exfiltration de données volées, et aurait maintenu des accès à des tableaux de bord sur le dark web permettant de gérer les opérations de LockBit.

Panev aurait également collaboré directement avec l’administrateur principal du groupe, Dmitry Khoroshev, pour améliorer les fonctionnalités du ransomware et sa capacité à échapper aux défenses des victimes. Les preuves techniques ont été recueillies grâce à une analyse approfondie de son ordinateur personnel, qui contenait des versions différentes du code source de LockBit et des outils de test pour contourner les logiciels antivirus.

« LockBit a causé des milliards de dollars de pertes dans le monde, touchant des infrastructures critiques comme des hôpitaux et des écoles. »

Cette opération, surnommée Kronos, marque une victoire importante dans la lutte contre le cybercrime. Cependant, l’extradition de Panev vers les États-Unis reste en cours, et les autorités continuent de traquer d’autres membres de l’équipe LockBit. Sur les 7 membres de LockBit « tracés », dont Mikhail Matveev (aka Wazawaka), plusieurs on été emprisonnés.

Le futur du ransomware : une menace persistante

Malgré cette arrestation, LockBit ne semble pas prêt à disparaître. LockBit 4.0 serait sur les rails, dès 2025. Ce nouvel opus promet des améliorations en termes de rapidité et d’efficacité, posant un défi de taille aux autorités et aux entreprises… ou alors le FBI est dorénavant caché derrière le message diffusé sur les blogs du groupe de pirates.

Le modèle RaaS continue d’être populaire, car il permet à des cybercriminels peu techniques d’utiliser des outils avancés pour des attaques. Selon les documents judiciaires, les affiliés de LockBit ont attaqué plus de 2 500 victimes, générant plus de 500 millions de dollars de paiements en rançons, en plus des coûts indirects pour les victimes tels que la perte de revenus et les frais de réponse aux incidents.

Face à l’évolution constante des menaces, la collaboration internationale reste essentielle. Les gouvernements et le secteur privé doivent travailler de concert pour suivre l’évolution des technologies malveillantes et protéger les infrastructures critiques.

L’arrestation de Rostislav Panev représente un tournant majeur dans la lutte contre LockBit, mais ne met pas fin à la menace. Le cybercrime évolue rapidement, et la capacité à anticiper et à réagir reste cruciale pour minimiser les impacts. LockBit 4.0 annonce une année 2025 sous haute tension dans le domaine de la cybersécurité… ou pas !

Abonnez-vous gratuitement à la newsletter de ZATAZ. Rejoignez également notre groupe WhatsApp et nos réseaux sociaux pour accéder à des informations exclusives, des alertes en temps réel et des conseils pratiques pour protéger vos données.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.