Après trois ans de surveillance, les autorités de dix pays, dont en France la Gendarmerie nationale, ont annoncé le 19 février avoir saisi les espaces numériques du groupe russophone de hackers LockBit lors d'une opération baptisée "Cronos".
Un coup de filet mené par les autorités des États-Unis, de la Grande-Bretagne, du Canada, de l’Australie, de la France, du Japon, de la Suisse, des Pays-Bas, de la Suède et de l’Allemagne. La Finlande, la Pologne, la Nouvelle-Zélande et l’Ukraine ont également soutenu l’opération. En dehors du site principal, qui était utilisé par le groupe de cybercriminels pour afficher ses victimes, 22 sites liés à LockBit auraient été détruit ou saisi, et 34 serveurs ont été démantelés.
Les autorités détiennent le code source
“Ce site est sous contrôle de l’agence nationale contre le crime britannique, en coopération avec le FBI et les forces de l’ordre internationales, lors de l’opération Cronos”, peut-on lire sur la page d’accueil du site principal. Les différents organismes ont précisé qu’ils donneraient de nouvelles informations plus tard.
Une capture d’écran diffusée sur X (ex-Twitter) par le spécialiste des malwares vx-underground montre aussi un message signé des forces de l’ordre des différents pays, lorsqu’un membre affilié à LockBit essaierait de se connecter à la plateforme. Il est notamment indiqué : “Nous avons le code source, les détails des victimes que vous avez attaquées, la somme d’argent extorquée, les données volées, les chats et bien plus encore. Vous pouvez remercier LockBitsupp et son infrastructure défectueuse pour cette situation... nous pourrions vous contacter très bientôt.”
Un groupe responsable de 2000 cyberattaques dans le monde
Le groupe de ransomware LockBit, repéré en 2019, est décrit par Europol comme “le plus prolifique et le plus dangereux au monde”. Il est spécialisé dans le ransomware et aurait, en cinq ans, perçu pour 91 millions de dollars. En cas de non-paiement de la rançon, les données volées sont diffusées ou revendues. LockBit pratique également la triple-extorsion, qui inclut les méthodes traditionnelles de cryptage des données et de menace de fuite, mais aussi d’attaques par déni de service (DDoS) comme moyen de pression.
Dans le monde, LockBit serait responsable de 2000 cyberattaques, comme l’équipementier automobile Continental, la société de restauration rapide Subway ou la poste britannique Royal Mail. Le ministère américain de la Justice avait même qualifié le ransomware de “plus actif et plus destructeur de variants dans le monde”.
À l’origine de 27 % des demandes de rançon en France
En France, le groupe a été médiatisé dans des cyberattaques d’ampleur, comme celles de l’hôpital de Corbeil-Essonnes, en août 2022, où les cybercriminels avaient réclamé 1 million de dollars avant de publier les données de santé des patients. Le groupe a aussi été impliqué dans des attaques envers le Département du Loiret, une branche du groupe Thalès ou encore la société cosmétique Nuxe. En 2022 et 2023, ces hackers étaient à l’origine de 27 % des demandes de rançon.
Europol a déclaré que deux acteurs du groupe avaient été arrêtés en Pologne et en Ukraine, “à la demande des autorités judiciaires françaises”. Trois mandats d’arrêt internationaux et cinq actes d’accusation ont été émis par les autorités françaises et américaines. En outre, plus de 200 comptes de cryptomonnaie liés à l’organisation ont été gelés. Les données récupérées par les forces de l’ordre serviront à cibler les dirigeants du groupe de cybercriminels, ainsi que les développeurs, filiales et actifs liés aux activités de LockBit. Attention toutefois, les activités du groupe de ransomware ne sont pas au point mort, et pourraient encore faire de nouvelles victimes.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
