Quand un cybercriminel d’Evil Corp comptait parmi les affidés de LockBit

Des mois d’analyse des données obtenues dans le cadre de l’opération Cronos sur la franchise LockBit 3.0 et ses affidés ont permis à l’agence britannique de lutte contre la criminalité de lever le voile sur l’un d’entre eux, désigné sous le pseudonyme Beverley.

Beverley comptait parmi les affidés de la première heure de la franchise mafieuse. Son compte, sur l’infrastructure de LockBit 3.0, a ainsi été le troisième créé, le 25 juin 2022, peu avant le lancement officiel de cette nouvelle version de la franchise. De quoi suggérer qu’il faisait déjà partie de l’aventure LockBit 2.0.

Derrière le pseudonyme de Beverley, c’est en fait Aleksandr Ryzhenkov qui se cache, un homme de confiance de Maksim Yakubets, le chef d’Evil Corp. Il a joué un rôle clé dans le développement du ransomware WastedLocker, utilisé par le groupe à partir de début 2020, au détriment de ses outils historiques.

Car c’est à Evil Corp que l’on doit Dridex, né comme un cheval de Troie bancaire, avant d’évoluer en botnet. Il sera notamment utilisé, à partir de 2019, pour distribuer le ransomware BitPaymer.

À cette période, Evil Corp se serait scindé en deux groupes, désignés Indrik Spider (comme l’Evil Corp des débuts) et Doppel Spider. Ce dernier s’est vu attribuer une version modifiée de Dridex, dite DoppelDridex, et du rançongiciel maison, désignée sous le nom de DoppelPaymer.

Début 2023, une action coordonnée des forces de l’ordre a débouché sur des perquisitions et les interpellations des « principaux membres » du groupe DoppelPaymer. Le groupe a été à l’origine notamment des cyberattaques contre Manutan, l’Afpa, la ville de Mitry-Mory et Roger Martin, en France, ou encore Compal et Foxconn.

Le NCA a ajouté qu’Aleksandr Ryzhenkov est l’un des 16 individus sanctionnés par le Royaume-Uni en raison de leurs liens avec Evil Corp, connu pour avoir amassé plus de 300 millions de dollars grâce à ses activités criminelles à travers le monde. Des liens entre Evil Corp et le gouvernement russe ont également été confirmés, Maksim Yakubets ayant cherché à établir des contacts au sein des plus hauts niveaux des services de renseignement russes.

Le démantèlement de LockBit, dans le cadre de l’opération Cronos, a été une humiliation pour le gang, réduisant considérablement son activité et ternissant sa réputation. Bien que le ransomware LockBit continue d’être une menace, il est aujourd’hui principalement utilisé par des affiliés mineurs sans grand succès.