La National Crime Agency du Royaume-Uni a lié une filiale de longue date du groupe de ransomware LockBit au célèbre Evil Corp, soutenu par la Russie, un gang de cybercriminalité ayant des liens avec le gouvernement russe.
La NCA a déclaré mardi avoir démasqué la filiale de LockBit, connue sous le nom de « Beverley », comme étant le ressortissant russe Aleksandr Ryzhenkov, que les autorités britanniques considèrent comme le « commandant en second » d’Evil Corp.
Ainsi, le Royaume-Uni, aux côtés des autorités américaines et australiennes, a imposé des sanctions contre Ryzhenkovce qui rend effectivement illégal pour toute personne affiliée à ces pays d’effectuer des transactions avec lui – y compris le paiement d’une rançon.
Lors d’un briefing auquel TechCrunch a participé avant l’annonce de mardi, la NCA a déclaré que même si la plupart des pirates informatiques russes qu’elle traque sont motivés par des raisons financières, Evil Corp entretient une relation « privilégiée » avec l’État russe et est souvent chargée de mener des cyberattaques contre les pays de l’OTAN pour le compte. du gouvernement russe.
Ryzhenkov, décrit par l’ANC comme le « bras droit » de Yakubets, est devenu un affilié de LockBit en 2022 et a ensuite ciblé au moins 60 victimes, ont indiqué les autorités.
L’ANC a également identifié Viktor Yakubets, le père de Maksim ; et Eduard Benderskiy, le beau-père de Maksim et ancien haut responsable du renseignement russe, comme clé des opérations d’Evil Corp, ce dernier étant un « facilitateur clé » des relations du gang avec les services de renseignement russes. Yakubets et Benderskiy ont également été sanctionnés.
“LockBit a clairement indiqué qu’il n’avait jamais travaillé avec Evil Corp, et nous avons pu le démontrer très clairement”, a déclaré aux journalistes Gavin Webb, officier enquêteur principal de l’opération Cronos.
La NCA a également annoncé mardi qu’un certain nombre d’autres arrestations avaient été effectuées dans le cadre de ses efforts continus visant à perturber le prolifique gang de ransomware LockBit. Les autorités britanniques ont arrêté deux personnes au Royaume-Uni qui seraient associées à une filiale de LockBit, soupçonnées de piratage informatique et de blanchiment d’argent. Un développeur présumé de LockBit a également été arrêté en France, et la police espagnole a arrêté l’un des principaux facilitateurs de l’infrastructure LockBit, saisissant neuf serveurs utilisés par le groupe.
Cette action de l’Opération Cronos est la dernière étape du jeu du chat et de la souris en cours entre les cyberautorités internationales et LockBit.
La bataille de longue date entre les deux est devenue publique en février lorsqu’une coalition internationale des forces de l’ordre, dirigée par la NCA et le FBI, a annoncé avoir infiltré le site officiel de LockBit. L’opération qui dure depuis des années a vu les agences s’emparer de l’infrastructure de LockBit, y compris le site de fuite du Web sombre que le gang utilise pour répertorier et extorquer ses victimes, en exploitant une vulnérabilité dans les sites Web publics de LockBit.
Quelques jours après l’annonce de l’opération, LockBit est revenu sur le dark web avec un nouveau site de fuite et de nouvelles victimes.
L’opération Cronos est revenue en mai pour révéler de nouvelles accusations contre le ressortissant russe Dmitry Khoroshev pour son implication présumée en tant que créateur, développeur et administrateur de LockBit.
La NCA affirme que même si LockBit reste actif, les mesures prises jusqu’à présent ont eu un effet significatif sur les opérations des ransomwares. Le nombre d’affiliés à LockBit est passé d’environ 200 à 70 depuis mai, a indiqué la NCA, ajoutant que même si le gang prétend être toujours actif en publiant de nouvelles victimes sur son site de fuite du dark web, la majorité d’entre elles sont des victimes répétées ou de fausses déclarations. .
L’agence a déclaré que ses enquêtes sur le ransomware LockBit ont également révélé de nouveaux détails sur le code source du gang et son fonctionnement. Les autorités ont déclaré que le code de LockBit avait été écrit de telle manière qu’il ne supprimerait pas les données d’une victime même si celle-ci payait une demande de rançon. Ce détail était inconnu des filiales de LockBit, a indiqué la NCA.
Mise à jour avec des détails supplémentaires sur l’acte d’accusation américain contre Ryzhenkov.
#RoyaumeUni #démasque #laffilié #ransomware #LockBit #tant #pirate #informatique #haut #rang #sein #dun #gang #cybercriminalité #soutenu #par #lÉtat #russe
