Âgé de 33 ans, un ressortissant russo-canadien a été arrêté au Canada. Il est dans l'attente de son extradition vers les États-Unis où il est inculpé de conspiration visant à " endommager intentionnellement des ordinateurs protégés et transmettre des demandes de rançon. " Il encourt une peine de jusqu'à cinq ans de prison et une amende de 250 000 dollars.
Mikhail Vasiliev est présenté comme un responsable à l'origine d'attaques par ransomware LockBit. Un ransomware tristement célèbre et y compris en France, comme récemment avec la cyberattaque qui a frappé le Centre Hospitalier Sud Francilien (CHSF) à Corbeil-Essonnes en Île-de-France.
Selon le département de la Justice des États-Unis, LockBit a été déployé contre plus d'un millier de victimes aux USA et dans le monde entier. Les membres de LockBit ont exigé au moins 100 millions de dollars de rançons et ont extorqué des dizaines de millions de dollars à leurs victimes.
LockBit fonctionne selon un modèle de Ransomware-as-a-Service (RaaS ; ransomware en tant que service). Le groupe derrière le ransomware fournit les services de chiffrement de données et des affiliés se chargent de mener des attaques, avec peu de scrupules dans le choix des cibles. Le chiffrement s'accompagne d'une exfiltration de données qui permet de faire pression avec un ultimatum avant leur divulgation. Les affiliés reçoivent une part du paiement des rançons.
Après deux perquisitions en août et octobre
" L'arrestation est le résultat de plus de deux ans et demi d'enquête sur le groupe de ransomware LockBit qui a fait des victimes aux États-Unis et dans le monde entier ", commente Lisa Monaco, procureure générale adjointe des États-Unis.
En août 2022, une perquisition au domicile de Mikhail Vasiliev avait permis de mettre au jour un fichier informatique TARGETLIST avec une liste de victimes potentielles ou passées de LockBit, des captures d'écran d'échanges sur la plateforme de messagerie chiffrée Tox avec LockBitSupp (support pour LockBit).
Lors d'une autre perquisition le 26 octobre et de son arrestation, la police canadienne a trouvé l'homme dans son garage et devant un ordinateur portable qu'il n'a pas eu le temps de verrouiller. Un navigateur web était ouvert avec plusieurs onglets, dont un onglet pour un site LockBit LOGIN avec un nom de domaine sur le Dark Web. Une phrase secrète pour une adresse de portefeuille Bitcoin a également été trouvée et l'analyse de la blockchain a révélé une transaction en rapport avec le paiement d'une rançon d'une victime de LockBit.
La Gendarmerie nationale impliquée dans l'enquête
Dans un communiqué qui a depuis été étrangement retiré, Europol a évoqué l'arrestation le 26 octobre au Canada d'un opérateur de LockBit à la suite d'une enquête complexe menée par la Gendarmerie nationale pour la France, avec le soutien d'Europol, du FBI et de la Gendarmerie royale du Canada (Royal Canadian Mounted Police).
Deux armes à feu, huit ordinateurs et 32 disques durs externes, ainsi que 400 000 € en cryptomonnaies ont été saisis au domicile du suspect, selon Europol.
L'année dernière, Europol avait annoncé l'arrestation en Ukraine de deux opérateurs d'un ransomware. Ils sont désormais identifiés comme des complices de l'individu arrêté au Canada.
