L’opération internationale « Cronos », menée cette semaine contre le groupe de ransomware LockBit, a été menée en prenant les pirates à leur propre jeu. C’est en effet l’exploitation d’une vulnérabilité PHP sur les serveurs de l’organisation criminelle qui ont permis aux forces de l’ordre d’en prendre le contrôle.
« Nous avons piraté les pirates », s’est félicité Graeme Biggar, directeur général de la National Crime Agency britannique. « Nous avons pris le contrôle de leur infrastructure, saisi leur code source et obtenu des clés qui aideront les victimes à décrypter leurs systèmes ».
Un décrypteur gratuit, basé sur plus de 1.000 clés de décryptage récupérées sur les serveurs saisis a d’ailleurs déjà été mis en ligne sur le portail No More Ransom.
Actif depuis la fin de l’année 2019, le rançongiciel a fait plus de 2.500 victimes, dont plus de 200 en France selon la Gendarmerie nationale. Reconnu comme le plus prolifique au niveau mondial, il a permis de récolter plus de 144 millions de dollars de rançons selon de Département d’État américain.
Les investigations sur les activités du gang avaient débuté en 2020, notamment en France à l’initiative Centre de lutte contre les criminalités numériques (C3N). La phase finale de l’opération Cronos était préparée depuis des mois par une Task Force de 11 pays dont la France et coordonnée au niveau européen par Europol et Eurojust.
En plus de la saisie des infrastructures, l’opération a permis de saisir des actifs en crypto-monnaie et de procéder à de premières arrestations ou émissions de mandats d’arrêt internationaux.
« Cette action prive le réseau de sa capacité à opérer », déclarent les autorités françaises, qui se montrent toutefois prudentes sur l’impact qu’elle aura sur l’organisation.
« Je pense qu’on leur fait perdre quelques mois. Ils vont être très désorganisés. Mais ce qu’ils ont mis en place, ils vont être capables de le refaire », a ainsi déclaré le colonel Pascal Péresse, chef de la division des opérations du C3N à nos confrères de BFM.