Un gros coup de filet qui marque la fin d'une opération internationale © Kindel Media / Pexels
Un gros coup de filet qui marque la fin d'une opération internationale © Kindel Media / Pexels

C'est à Paris que le cerveau du terrible ransomware Ragnar-Locker a été rattrapé par les autorités. Les victimes de celui-ci se comptent par milliers à travers le monde.

Il y a presque trois ans, le groupe LDLC a fait les frais de Ragnar Locker. 29,5 Go de données de l'entreprise avaient été mises en ventes sur le Dark Web. Le groupe de hackers derrière ce ransomware avait été identifié depuis 2019 par le FBI, mais jamais appréhendés depuis. Le suspect principal vient enfin d'être arrêté sur le territoire français le 16 octobre, après une opération internationale menée méticuleusement.

On estime que le groupe a attaqué 168 entreprises au niveau international depuis 2020, les membres du gang sont donc très loin d'être des hackers du dimanche. Il ne reste plus qu'à croiser les doigts pour que la procédure suive son cours, contrairement l'affaire BX1, où le suspect a pu échapper à sa sentence.

Une opération coordonnée à grande échelle

Après son interpellation le 16 octobre dans la capitale française, le domicile du suspect, situé en République tchèque, a été également perquisitionné. Europol a déclaré que cinq autres individus ont été interrogés dans les jours qui ont suivi, en Lettonie et en Espagne. La police ukrainienne a eu aussi du travail puisqu'une saisie de matériel a eu lieu à Kiev, dont des téléphones et des ordinateurs portables.

Ce coup de filet gigantesque est le résultat d'une coopération étroite entre plusieurs pays. En 2021, l'agence Eurojust (Unité de coopération judiciaire de l'Union européenne) avait été sollicitée en mai 2021 par les autorités françaises pour procéder à l'ouverture d'une enquête. À partir de ce moment-là ont été organisées cinq réunions de coordination pour venir à bout du groupe de hackers. De nombreux pays ont été impliqués : Italie, Espagne, République tchèque, Suède, Canada, Japon, Allemagne, Pays-Bas, France, États-Unis et Lettonie. Une coopération internationale qui témoigne de l'ampleur de l'affaire.

Exemple d'une bannière de saisie d'un site associé au ransomware Ragnar Locker © Bleeping Computer
Exemple d'une bannière de saisie d'un site associé au ransomware Ragnar Locker © Bleeping Computer

Le fléau Ragnar-Locker

Ce ransomware était actif depuis décembre 2019 et a littéralement déferlé sur la planète entière. Traditionnellement, ces logiciels malveillants fonctionnent sur un modèle dit de « Ransomware-as-a-Service ». C'est-à-dire que les groupes principaux qui développent les logiciels recrutent d'autres cybercriminels dans leurs rangs. Une fois les équipes renforcées par ces « employés », ceux-ci infiltrent les réseaux et touchent une part des revenus. Le fonctionnement de Ragnar-Locker était tout autre, puisque l'équipe qui en était à l'origine était beaucoup plus sélective et allaient directement chercher des experts en cybersécurité et en intrusion. Une méthode plus professionnelle permettant un ciblage plus efficace des systèmes visés.

Parmi les victimes de Ragnar-Locker on peut citer des grands noms comme Capcom, Dassault Falcon, ou ADATA, un fabricant taïwanais de composants informatiques. Un rapport du FBI datant de mars 2022 estime que 52 entreprises américaines ont été affectées par le ransomware depuis avril 2020. C'est donc certainement la fin de la cavale pour le groupe de hackers ; une carrière qui aura duré toutefois un peu plus longtemps que celle du pirate Edward Teach, que l'on connaît plus sous le nom de Barbe Noire.

Source : Bleeping Computer