Mr Doomits - stock.adobe.com
Ransomware : coup de filet majeur en Ukraine
Le leader d’un groupe impliqué dans des cyberattaques avec les rançongiciels LockerGoga, MegaCortex, Dharma et Hive vient d’être interpellé en Ukraine, aux côtés de 4 acolytes suspectés.
C’est le prolongement d’un travail de longue haleine : le 21 novembre, le leader d’un groupe de cybercriminels connus pour avoir mené des cyberattaques avec ransomware a été arrêté en Ukraine. Quatre personnes soupçonnées d’avoir agi avec lui l’ont été également.
Au total, 30 lieux ont été fouillés et une grande quantité d’équipements informatiques a été saisie. Une vingtaine d’enquêteurs venus d’Allemagne, France, Norvège, ou encore des États-Unis sont intervenus aux côtés de la police ukrainienne.
Cette opération s’inscrit en fait la continuité d’une autre, en 2021. Il y a deux ans, fin octobre, Europol avait annoncé que 12 personnes avaient été identifiées et visées, soupçonnées d’avoir conduit des attaques informatiques avec rançongiciel contre plus de 1 800 victimes dans 71 pays – jusqu’à avoir touché des infrastructures critiques. Des interpellations étaient survenues le 26 octobre, en Suisse et en Ukraine.
Le groupe en question est accusé d’avoir déployé des rançongiciels tels que LockerGoga, MegaCortex, Dharma et Hive : certains membres du groupe « ont participé aux tentatives d’infiltration, utilisant de multiples mécanismes pour compromettre les réseaux informatiques, notamment des attaques par force brute, des techniques d’injection SQL pour attaquer les applications de données, des identifiants volés et des courriels d’hameçonnage avec des pièces jointes malveillantes », explique un communiqué d’Eurojust.
Et d’ajouter que « une fois à l’intérieur du réseau, certains de ces cyberacteurs ont utilisé des logiciels malveillants tels que Trickbot, ou des cadres de post-exploitation tels que Cobalt Strike ou PowerShell Empire, afin de ne pas être détectés et d’obtenir d’autres accès ».
C’est la Police nationale française qui est à l’origine de la mise en place de l’équipe d’investigation internationale, en septembre 2019, et de ses interpellations. Ce n’est peut-être pas un hasard.
Début 2019, LockerGoga était utilisé contre le Français Altran. Quelque mois plus tard, il fera les gros titres avec le Norvégien Nork Hydro. Entre-temps, l’Agence nationale de la sécurité des systèmes d’information (Anssi) aura largement documenté LockerGoga et le groupe l’exploitant, faisant au passage un rapprochement avec Ryuk – qui laisserait plus tard la place à Conti. Le groupe en question fut nommé Grim Spider par CrowdStrike et suivi sous la référence FIN6 par Mandiant.