Cette semaine, les forces de l’ordre et les autorités judiciaires de onze pays ont porté un coup dur à l’une des opérations de ransomware les plus dangereuses de ces dernières années.
Cette action, coordonnée au niveau international par Europol et Eurojust, visait le groupe de ransomware Ragnar Locker. Le groupe était responsable de nombreuses attaques très médiatisées contre des infrastructures critiques à travers le monde.
Lors d'une action menée entre le 16 et le 20 octobre, des perquisitions ont été menées en Tchéquie, en Espagne et en Lettonie. La « cible clé » de cette souche malveillante de ransomware a été arrêtée à Paris, en France, le 16 octobre, et son domicile en Tchéquie a été perquisitionné. Cinq suspects ont été interrogés en Espagne et en Lettonie dans les jours suivants. A l'issue de la semaine d'action, l'auteur principal, soupçonné d'être un développeur du groupe Ragnar, a été déféré devant les juges d'instruction du tribunal judiciaire de Paris.
L'infrastructure du ransomware a également été saisie aux Pays-Bas, en Allemagne et en Suède, et le site Web de fuite de données associé sur Tor a été fermé en Suède.
Cette opération internationale fait suite à une enquête complexe menée par la Gendarmerie nationale française, en collaboration avec les forces de l'ordre de République tchèque, d'Allemagne, d'Italie, du Japon, de Lettonie, des Pays-Bas, d'Espagne, de Suède, d'Ukraine et des États-Unis d'Amérique.
Dans le cadre de cette enquête, une première série d'arrestations a été réalisée en Ukraine en octobre 2021 avec le soutien d'Europol.
Actif depuis décembre 2019, Ragnar Locker est le nom d'une souche de ransomware et du groupe criminel qui l'a développé et exploité.
Cet acteur malveillant s'est fait un nom en attaquant des infrastructures critiques à travers le monde, ayant récemment revendiqué les attaques contre la compagnie aérienne nationale portugaise et un hôpital en Israël.
Cette souche de ransomware ciblait les appareils exécutant les systèmes d'exploitation Microsoft Windows et exploitait généralement des services exposés tels que Remote Desktop Protocol pour accéder au système.
Le groupe Ragnar Locker était connu pour employer une double tactique d'extorsion, exigeant des paiements exorbitants pour les outils de décryptage ainsi que pour la non-divulgation des données sensibles volées.
Le niveau de menace de Ragnar Locker a été considéré comme élevé, compte tenu de la propension du groupe à attaquer les infrastructures critiques.
Ragnar Locker a explicitement mis en garde ses victimes contre tout contact avec les forces de l'ordre, menaçant de publier toutes les données volées des organisations victimes cherchant de l'aide sur son site de fuite du dark web « Wall of Shame ».
'Tout ce que font les négociateurs/enquêteurs du FBI/ransomware, c'est tout gâcher les choses, donc nous allons publier vos informations si vous appelez à l'aide', a annoncé le gang du ransomware Ragnar Locker sur son site Web caché.
Ils ne savaient pas que les forces de l'ordre se rapprochaient d'eux.
En octobre 2021, des enquêteurs de la gendarmerie française et du FBI américain, ainsi que des spécialistes d'Europol et d'INTERPOL ont été déployés en Ukraine pour mener des mesures d'enquête avec la police nationale ukrainienne, qui ont conduit à l'arrestation de deux éminents opérateurs de Ragnar Locker.
L’enquête s’est poursuivie depuis, conduisant à des arrestations et à des actions de perturbation cette semaine. Le Centre européen de lutte contre la cybercriminalité d'Europol a soutenu l'enquête dès le début, réunissant tous les pays impliqués pour établir une stratégie commune.
Ses spécialistes de la cybercriminalité ont organisé 15 réunions de coordination et deux sprints d'une semaine pour préparer les dernières actions, tout en fournissant une assistance analytique, anti-malware, médico-légale et de traçage cryptographique. Un poste de commandement virtuel a été mis en place cette semaine par Europol pour assurer une coordination transparente entre toutes les autorités impliquées.
Le dossier a été ouvert par Eurojust en mai 2021 à la demande des autorités françaises. Cinq réunions de coordination ont été organisées par l'Agence pour faciliter la coopération judiciaire entre les autorités des pays qui ont soutenu l'enquête. Eurojust a mis en place un centre de coordination pendant la semaine d'action pour permettre une coopération rapide entre les autorités judiciaires impliquées.
Edvardas Šileris, directeur du Centre européen de lutte contre la cybercriminalité d'Europol, a déclaré :
Cette enquête montre qu’une fois de plus, la coopération internationale est la clé pour éliminer les groupes de ransomwares. La prévention et la sécurité s'améliorent, mais les opérateurs de ransomwares continuent d'innover et de trouver de nouvelles victimes. Europol jouera son rôle en soutenant les États membres de l’UE lorsqu’ils ciblent ces groupes, et chaque cas nous aide à améliorer nos modes d’enquête et notre compréhension de ces groupes. J'espère que cette série d'arrestations envoie un message fort aux opérateurs de ransomwares qui pensent pouvoir poursuivre leurs attaques sans conséquence.
Une coopération étroite entre les autorités répressives concernées a également été soutenue par le groupe de travail conjoint d'action contre la cybercriminalité (J-CAT) d'Europol, composé d'officiers de liaison en matière de cybercriminalité affectés au siège d'Europol.
Les autorités suivantes ont participé à l'enquête :
L'enquête a été menée dans le cadre de la Plateforme multidisciplinaire européenne contre les menaces criminelles (EMPACT).
Inscrivez-vous et accèdez à l’ensemble de l’actualité GRACES.Community.