La justice américaine porte un nouveau coup au groupe de ransomware LockBit. Elle a inculpé Rostislav Panev, un ressortissant russe et israélien, pour son implication présumée comme l’un des principaux développeurs du groupe. L’homme de 51 ans a été arrêté en août dernier en Israël et placé en détention provisoire en attendant son extradition vers les Etats-Unis.
« La plainte pénale allègue que Rostislav Panev a développé des logiciels malveillants et entretenu l’infrastructure de LockBit, qui était autrefois le groupe de ransomwares le plus destructeur au monde et a attaqué des milliers de victimes, causant des milliards de dollars de dégâts », a déclaré Nicole Argentieri, chef de la division pénale du ministère de la Justice (DOJ).
Le groupe a commencé à être démantelé depuis février dernier, dans le cadre de l’opération Cronos, menée par Europol, la National Crime Agency britannique et le FBI. En mai dernier, ces mêmes agences ont identifié Dmitry Yuryevich Khoroshev, comme le fondateur et administrateur principal du groupe de 2019 à 2024. Une prime de 10 millions de dollars a été proposée pour toute information conduisant à son arrestation et à sa condamnation.
Rostislav Panev est le septième membre du groupe inculpé et le troisième à avoir été placé en détention. L’enquête a mis à jour ses identifiants d’accès au panneau de contrôle de Lockbit, aux codes sources du ransomware et de StealBit, un outil utilisé pour exfiltrer les données volées. Le développeur a par ailleurs reconnu avoir reçu des paiements réguliers en cryptomonnaie pour son travail. Au moins 230.000 dollars, transférés par Lockbit entre 2022 et 2024, ont été trouvé sur un portefeuille de crypto-monnaie lui appartenant.
Le DOJ estime que Lockbit et ses sociétés affiliées ont extorqué au moins 500 millions de dollars de paiements aux victimes et entrainé des pertes de plusieurs milliards de dollars.
« Nos efforts se poursuivront sans relâche jusqu’à ce que le groupe soit complètement démantelé et que ses membres soient traduits en justice », a déclaré Philip Sellinger, procureur pour le district du New Jersey, où la plainte a été déposée.
Après l’opération Cronos, les autorités et experts s’étaient montré prudents sur sa capacité à perturber durablement les activités d’un groupe comme Lockbit. Des équipes de renseignement sur les menaces, telle que celle de Mandiant, ont toutefois observé une forte baisse des attaques associées au service après l’été 2024 et souligné la valeur d’exemple de telles opérations internationales.
« Bien que les opérateurs d’intrusion précédemment affiliés à LockBit aient, dans de nombreux cas, probablement simplement commencé à travailler avec d’autres services, ces efforts continus sont essentiels pour garantir que les ransomwares et l’extorsion soient considérés comme des crimes ayant des conséquences », a déclaré Jeremy Kennelly, analyste principal dans l’équipe en charge de la criminalité financière chez Mandiant.