Infrastructure et sites saisis, responsable présumé arrêté, le groupe de ransomware Ragnar Locker est tombé dans les mailles des forces de l’ordre au terme de deux ans d’enquête et cinq jours de perquisitions. Un « coup dur » a été porté à l’organisation s’est félicité dans un communiqué Europol, qui a coordonné les actions des forces de l’ordre et judiciaires de onze pays, à partir d’une enquête menée par la Gendarmerie nationale française.

Dans le cadre de cette action, un ressortissant et développeur russe été mis en examen à Paris et écroué. « L’infrastructure du ransomware a été saisie aux Pays-Bas, en Allemagne et en Suède et le site Web de fuite de données associé sur Tor a été fermé en Suède », précise l’institution européenne de lutte contre le crime organisé.

Actif depuis décembre 2019, Ragnar Locker s’est fait connaitre par des attaques par ransomware très médiatisées contre des infrastructures critiques. Adepte des stratagèmes de double extorsion, avec chiffrement ou fuites de données volées, il a fait plus de 160 victimes parmi lesquelles l’éditeur de jeux Capcom, le géant italien des boissons Campari, la ville d’Anvers, la compagnie aérienne TAP ou encore en France l’armateur CMA CGM et le distributeur informatique LDLC.

« Cette enquête montre qu’une fois de plus, la coopération internationale est la clé pour éliminer les groupes de ransomwares », a commenté dans un communiqué Edvardas Silleris, directeur du Centre européen de lutte contre la cybercriminalité d’Europol. « J’espère que cette série d’arrestations envoie un message fort aux opérateurs de ransomwares qui pensent pouvoir poursuivre leurs attaques sans conséquence. »

Comme le rapporte le site BleepingComputer, une autre action a été menée la même semaine contre un autre gang de ransomware : la Cyber Alliance ukrainienne (UCA) est parvenue à pirater les serveurs de la franchise de ransomware Trigona, à exfiltrer les données et à effacer les serveurs. L’UCA a déclaré qu’elle divulguerait les clés de décryptage si elles étaient retrouvées.

Reste à voir l’impact réel de ces coups et la capacité des groupes à se reconstituer. Le site du groupe REvil avait par exemple lui aussi été mis hors ligne fin 2021, avant de reprendre ses activités de plus belle quelques mois plus tard.

Crédit photo : Europol

Nos lecteurs ont lu ensuite


Pas de crise de la trentaine pour les ransomwares
L’évolution des ransomwares   Trente ans après le premier ransomware[1], ce type de logiciels malveillants chiffrant les données de leurs victimes jusqu’à l’obtention d’une rançon a toujours le vent en poupe. En 2017, les ransomwares...

Le groupe Ragnar Locker revendique l’attaque contre LDLC
Le groupe de rançongiciel Ragnar Locker vient de revendiquer une cyberattaque contre le groupe lyonnais LDLC spécialisé dans la vente de matériel informatique. Ragnar Locker s’appuie sur plusieurs captures d’écran et deux archives pour prouver...

Seules 8% des entreprises ayant versé une rançon ont été en mesure de restaurer l’ensemble de leurs données
1,53 million d’euros : tel est le coût moyen pour se remettre d’une cyberattaque, selon le rapport « Etat des Ransomwares 2021 ». D’après cette étude Vanson Bourne, commandée par Sophos et menée en ce début d’année, le coût...

Une enquête montre que les partenaires n’ont pas conscience que leurs clients font l’objet de cyberattaques
Le channel mesure-t-il de la même manière que les clients les risques en matière de cybersécurité en général et de ransomwares en particulier ? C’est à cette question que tente de répondre Barracuda Networks qui a...

Lockbit éclipse Conti avec le tiers des attaques par ransomware de 2022
Le rapport annuel « Threat Monitor » de NCC Group fait ressortir une légère diminution des attaques par ransomware en 2022. 2531 attaques ont été observées à travers son service MDR (Managed Detection & Reponse) et par...