Âgé de 20 ans, un ressortissant russe a été arrêté aux États-Unis. Il est suspecté d'être un affilié du groupe de ransomware LockBit de funeste réputation. Originaire de la Tchétchénie, Ruslan Magomedovich Astamirov a été interpellé jeudi.

Selon l'inculpation de la justice américaine, le jeune homme a participé avec d'autres membres de LockBit à des cyberattaques entre août 2020 et mars 2023. Il exploitait diverses adresses email, adresses IP et comptes de fournisseurs en ligne pour déployer le ransomware et pour communiquer avec des victimes.

Pour au moins un cas, les forces de l'ordre ont été en mesure de suivre à la trace une partie d'un paiement de rançon d'une victime à une adresse de monnaie virtuelle contrôlée par l'individu. D'après une plainte, une des victimes a payé 700 000 dollars. Une autre victime a refusé de payer et ses données exfiltrées ont été mises en ligne sur le serveur public de LockBit.

S'il est reconnu coupable, Ruslan Magomedovich Astamirov encourt une peine de jusqu'à 20 ans de prison pour fraude électronique, 5 ans de prison pour avoir endommagé des ordinateurs protégés, 250 000 dollars d'amende ou le double des pertes financières engendrées.

Il serait directement responsable de cinq cyberattaques différentes contre des entreprises américaines en Floride et en Virginie, ainsi que contre des entreprises internationales basées en France, au Japon et au Kenya.

Trois inculpations et deux arrestations

C'est la troisième inculpation en lien avec LockBit. Suspecté d'être un opérateur du ransomware LockBit (et d'être affilié à plusieurs groupes de ransomware), le ressortissant russo-canadien Mikhail Vasiliev a été arrêté fin octobre 2022 au Canada. En attente d'extradition vers les États-Unis, il faisait aussi l'objet d'un mandat d'arrêt international émis par la France.

Le mois dernier, le Département américain de la Justice a annoncé l'inculpation du ressortissant russe Mikhail Pavlovich Matveev (toujours dans la nature) pour sa participation présumée à des attaques visant à déployer des variantes de ransomware LockBit, Babuk et Hive, avec des victimes aux États-Unis et ailleurs dans le monde.

ransomware-lockbit-avis-cybersecurite

Publication d'un rapport sur LockBit

L'annonce des États-Unis concernant l'arrestation de Ruslan Magomedovich Astamirov intervient alors que les agences de cybersécurité de sept pays*, dont la France avec l'Anssi, ont publié mercredi un avis de cybersécurité sur LockBit et le mode opératoire de ce groupe de ransomware (PDF).

Le groupe russophone de ransomware LockBit est tenu responsable par le FBI d'au moins 1 700 cyberattaques depuis 2020. En France, LockBit a été à l'origine de 27 % des incidents par ransomware en 2022 et début 2023.

Le groupe LockBit fonctionne sur un modèle de Ransomware-as-a-Service (RaaS). Des services de chiffrement de fichiers sont fournis, tandis que des affiliés se chargent des cyberattaques… y compris contre des hôpitaux. Les affiliés reçoivent une part du paiement des rançons pour l'obtention d'un outil de déchiffrement. Une exfiltration de données permet de faire pression avec menace de divulgation.

* Allemagne, Australie, Canada, États-Unis, France, Nouvelle-Zélande et Royaume-Uni.