Un membre de LockBit arrêté… aux USA !

Le ministère de la justice américain a annoncé avoir appréhendé et inculpé un ressortissant russe vivant aux États-Unis pour son implication présumée dans une série d’attaques liées aux rançongiciels. Ruslan Astamirov, âgé de 20 ans, est suspecté d’avoir été un membre important du groupe LockBit.

LockBit est considéré comme l’un des groupes les plus actifs dans le domaine des rançongiciels. Il est notamment responsable du vol de 10 000 copies de passeports de clients de l’agence de voyages française Voyageurs du Monde. Ce groupe est également à l’origine d’attaques ayant temporairement paralysé les services informatiques des hôpitaux de Corbeil-Essonnes et de Versailles à la fin de 2022. Selon certaines estimations, environ un quart des attaques par rançongiciel dans le monde utilisent LockBit.

La plupart des personnes qui utilisent ce rançongiciel sont des « affiliés » qui le déploient en échange d’une commission sur les rançons. Trois individus inculpés en six mois. ZATAZ vous révélait, il y a peu, le nombre impressionnant (et inquiétant) des entreprises victimes !

« Les personnes utilisant LockBit ou d’autres rançongiciels ne pourront pas se cacher et rester anonymes en ligne« , a déclaré le procureur du New Jersey, Philip Sellinger. « Nous continuerons de collaborer avec toutes les agences chargées de faire respecter la loi afin d’identifier les auteurs de ces attaques et de les traduire en justice. » Au cours des six derniers mois, les États-Unis ont inculpé deux autres ressortissants russes, l’un résidant au Canada, où il a été arrêté, et l’autre soupçonné d’être un membre important de plusieurs groupes de rançongiciels et actuellement en fuite.

Ruslan Magomedovich Astamirov (АСТАМИРОВ, Руслан Магомедовичь), âgé de 20 ans et originaire de la République tchétchène, comparaîtra devant un tribunal ultérieurement. « En procédant à l’arrestation d’un deuxième ressortissant russe affilié au rançongiciel LockBit, le Département a une fois de plus démontré l’efficacité de la loi. Nous continuerons à utiliser tous les outils à notre disposition pour perturber la cybercriminalité, et bien que les cybercriminels puissent continuer à agir, ils ne peuvent finalement pas se cacher. » Détail tout de même intéressant, des pirates « pro-russes » installés en Amérique du Nord !

La semaine dernière, les agences de cybersécurité de sept pays occidentaux (États-Unis, Australie, Canada, Royaume-Uni, Allemagne, France et Nouvelle-Zélande), dont l’Agence nationale de la sécurité des systèmes d’information (ANSSI) ont publié conjointement un rapport technique détaillé sur les outils utilisés par LockBit et des recommandations pour renforcer la protection contre ces attaques. Un grand classique avant l’annonce d’une action du FBI.

ZATAZ vous révélait, dans son émission Twitch (chaque soir à 19 heures) comment le boss de LockBit souhaitait, lui aussi, être dans le top 10 du « Wanted » du FBI !

Des millions de dollars volés, des milliards de données détournées

Selon une plainte pénale déposée dans le district du New Jersey, de août 2020 à mars 2023 au moins, Astamirov aurait participé à une conspiration avec d’autres membres de la campagne de rançongiciels LockBit pour commettre une fraude par fil et endommager intentionnellement des ordinateurs protégés et exiger des rançons par le biais de l’utilisation et du déploiement de rançongiciels. Plus précisément, Astamirov aurait directement exécuté au moins cinq attaques contre des systèmes informatiques aux États-Unis et à l’étranger.

« Astamirov est le troisième accusé inculpé par notre bureau dans la campagne mondiale de rançongiciels LockBit, et le deuxième à avoir été appréhendé« , a déclaré Philip R. Sellinger, Procureur des États-Unis pour le district du New Jersey. « Les conspirateurs de LockBit et tous les autres auteurs de rançongiciels ne peuvent pas se cacher derrière une prétendue anonymité en ligne. Nous continuerons à travailler sans relâche avec tous nos partenaires chargés de l’application de la loi pour identifier les auteurs de rançongiciels et les traduire en justice.« 

Dans le cadre de ses activités liées à LockBit, Astamirov possédait, contrôlait et utilisait plusieurs adresses e-mail, adresses IP et autres comptes de fournisseurs en ligne qui lui permettaient, ainsi qu’à ses complices, de déployer le rançongiciel LockBit et de communiquer avec leurs victimes. De plus, dans au moins un cas, les autorités ont pu retracer une partie du paiement de rançon d’une victime jusqu’à une adresse de crypto-monnaie contrôlée par Astamirov.

Astamirov est accusé de conspiration en vue de commettre une fraude par fil et de conspiration en vue de causer intentionnellement des dommages à des ordinateurs protégés et de transmettre des demandes de rançon. S’il est reconnu coupable, il pourrait être condamné à une peine maximale de 20 ans de prison pour la première accusation et à une peine maximale de cinq ans de prison pour la deuxième accusation. Les deux chefs d’accusation sont également passibles d’une amende maximale de 250 000 dollars ou du double du gain ou de la perte résultant de l’infraction, selon le montant le plus élevé.

Cette annonce fait suite à des accusations liées à LockBit dans deux autres affaires du district du New Jersey. En novembre 2022, le Département de la Justice a annoncé des accusations criminelles contre Mikhail Vasiliev, un ressortissant russe et canadien, actuellement détenu au Canada en attente d’extradition vers les États-Unis. En mai 2023, le Département a annoncé l’inculpation de Mikhail Pavlovich Matveev, alias Wazawaka, alias m1x, alias Boriselcin, alias Uhodiransomwar, pour sa participation présumée à des conspirations distinctes visant à déployer les variantes de rançongiciels LockBit, Babuk et Hive contre des victimes aux États-Unis et à l’étranger.

L’équipe des crimes cybernétiques du bureau du FBI à Newark enquête sur cette affaire avec, entre autres, le Centre européen de lutte contre la cybercriminalité d’Europol, Eurojust, l’Agence nationale de police du Japon ou encore le C3N de la Gendarmerie nationale française.

Le responsable de LockBit a, comme à son habitude, répondu à cette nouvelle action : « A mon grand regret, plus de 70% des partenaires sont frivoles et négligents en matière de sécurité, que puis-je faire ? a pu lire ZATAZ. En regardant quelles méthodes et grâce à quelles erreurs les partenaires sont attrapés, je me sens très calme pour mon cul et, par conséquent, pour mon partenaire bien-aimé. »  En suivant les propos de LockBit, il semble que le « chef » de ce groupe change de localisation et de téléphone, très fréquemment !