Depuis son apparition à la fin de l'année 2019, le groupe de cybercriminels Lockbit était devenu synonyme de menace majeure dans le monde de la cybercriminalité. Leur modèle de "ransomware as a service", permettant à des groupes d'attaquants d'accéder à leurs logiciels malveillants, a entraîné des milliards d'euros de dégâts à l'échelle mondiale, touchant plus de 2.500 victimes, dont plus de 200 en France.
Baptisée "Cronos" et initiée par les autorités françaises en collaboration avec plusieurs pays partenaires (dont le Royaume-Uni, les États-Unis, l'Allemagne, les Pays-Bas, la Suisse, le Japon, l'Australie, le Canada et la Suède), une opération de démantèlement a été menée durant la semaine du 19 février 2024. Coordonnée au niveau européen par Europol et Eurojust, cette opération a été le fruit d'une coopération durable et de plusieurs réunions de coordination entre les agences de sécurité.
Les cybergendarmes chargés de l’enquête sur le piratage de l’Ardèche
Les efforts conjoints ont permis de prendre le contrôle d'une partie significative de l'infrastructure de Lockbit, y compris sur le darknet, et de saisir de nombreux serveurs utilisés par le groupe criminel, notamment en Allemagne et aux Pays-Bas. En outre, plus de 200 comptes de crypto-monnaie liés à l'organisation criminelle ont été gelés.
En France, l'enquête, ouverte en 2020 par la section de lutte contre la cybercriminalité du parquet de Paris, a été menée par les gendarmes de l'Unité nationale cyber (UNC) – C3N. Les investigations ont abouti à des interpellations en Pologne et en Ukraine, ainsi qu'à des perquisitions. Ces actions sont intervenues dans le cadre d'une instruction judiciaire visant des chefs d'extorsion en bande organisée, d'association de malfaiteurs, et d'autres délits liés à la cybercriminalité.
Un portail créé pour que les victimes récupèrent leurs données
L'implication d'Europol a été cruciale dans la coordination de cette opération d'envergure internationale. Le Centre européen de lutte contre la cybercriminalité (EC3) d'Europol a joué un rôle central dans le partage d'informations et l'organisation des activités opérationnelles. Les experts d'Europol ont été déployés sur le terrain pour soutenir les forces de l'ordre et faciliter les échanges d'informations entre les pays participants.
Au-delà du démantèlement de l'infrastructure de Lockbit, cette opération a également permis de fournir des outils de décryptage pour récupérer les fichiers cryptés par le ransomware, disponibles gratuitement sur le portail "No More Ransom" en 37 langues.
« Crisocorp »: deux anciens du GIGN sur le front de la gestion de crise cyber