LockBit : le ressortissant russo-canadien arrêté va faire parler en France

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités LockBit : le ressortissant russo-canadien arrêté va faire parler en France

Publié le 17 novembre 2022 à 11:30 par Jérôme G.

Lire sur mobile

Arrêté au Canada fin octobre, le ressortissant russo-canadien suspecté d'être un opérateur du ransomware LockBit serait lié à plus d'une centaine d'attaques en France. Pas uniquement avec LockBit.

La semaine dernière, les autorités américaines et européennes ont annoncé l'arrestation le 26 octobre au Canada d'un individu âgé de 33 ans. De nationalité russe et canadienne, Mikhail Vasiliev est présenté comme un opérateur du ransomware LockBit. Il aurait déployé ce rançongiciel dans le cadre de plusieurs attaques.

L'homme est dans l'attente d'une extradition vers les États-Unis où il est inculpé de conspiration visant à " endommager intentionnellement des ordinateurs protégés et transmettre des demandes de rançon. " Toutefois, l'individu pourrait aussi avoir des comptes à rendre à la justice française. Il faisait en effet également l'objet d'un mandat d'arrêt international émis par la France.

Mercredi, la gendarmerie nationale a souligné l'interpellation d'un hacker russophone pour laquelle elle a apporté sa pierre à l'édifice. Une action qui a été coordonnée avec le FBI et Europol. La gendarmerie nationale indique que l'individu est soupçonné de 115 attaques par ransomware contre des victimes en France et 2 000 dans le monde.

#Cybersecurité ?️ Un hackeur russophone interpellé au Canada avec l'action coordonnée des gendarmes experts du #ComCyberGend, du @FBI ?? et d'@Europol ??
➡️ Individu soupçonné de 115 attaques en rançongiciels contre des victimes françaises ;
➡️ 2.000 victimes dans le monde. pic.twitter.com/VbDzJYmk9A
— Gendarmerie nationale (@Gendarmerie) November 16, 2022

Pas uniquement LockBit

À franceinfo, le parquet de Paris a précisé que l'homme est susceptible d'être affilié à plusieurs groupes de ransomware. Hormis LockBit, les noms de BlackCat (autrement connu en tant que Noberus), RagnarLocker et DarkSide sont par exemple cités. Sachant que BlackCat serait un successeur de DarkSide.

De tels groupes fonctionnent avec un modèle de Ransomware-as-a-Service (RaaS). Ils fournissent les services de chiffrement de fichiers et des affiliés se chargent de mener des attaques. Les affiliés reçoivent une part du paiement des rançons pour l'obtention d'un outil de déchiffrement. Sachant, qu'il y a souvent une exfiltration de données pour faire pression avec menace de divulgation et pour poser un ultimatum.

Mikhail Vasiliev est soupçonné d'être plus qu'un affilié. Il aurait eu un rôle important dans le groupe de ransomware LockBit, dont il pourrait être un des fondateurs. Le ransomware LockBit a notamment été impliqué dans des attaques contre des groupes industriels.

De récents cas en France

En France, le groupe de ransomware LockBit 3.0 est connu pour avoir attaqué et perturbé le fonctionnement du Centre Hospitalier Sud Francilien (CHSF) à Corbeil-Essonnes en Île-de-France. Une dernière victime en date de LockBit 3.0 pour la France qui a été revendiquée est le groupe Thales.

Toutefois, après la diffusion de données sur la plateforme du groupe de ransomware, Thales a fait savoir qu'il n'y a pas eu d'intrusion dans ses systèmes d'information.

" Les experts en sécurité de Thales ont identifié l'une des deux sources probables du vol d'informations. Il s'agit du compte d'un partenaire sur un portail d'échange dédié qui a conduit à la divulgation d'un volume limité d'informations. "