Ransomware : saisie de l’infrastructure de Ragnar Locker

Surprise, ce jeudi 19 octobre après-midi, pour les observateurs de l’activité des cybercriminels habitués aux attaques avec rançongiciel : le site vitrine de Ragnar Locker n’affiche plus les revendications des victimes ayant refusé de céder au chantage. À la place, un message annonce la saisie de l’infrastructure du groupe, dans le cadre d’une opération judiciaire internationale impliquant, notamment, la Gendarmerie nationale et Europol. 

« Ce service a été saisi dans le cadre d’une action coordonnée contre le groupe Ragnar Locker », peut-on ainsi lire. Selon nos constatations, le site du groupe consacré aux négociations a également été rendu inaccessible. 

En mars 2022, le FBI avait partagé une série d’indicateurs de compromission liés aux activités de Ragnar Locker. Dans cette note d’information, les forces de l’ordre américaines indiquaient avoir « identifié au moins 52 entités sur dix secteurs d’infrastructure critique affectés par le ransomware Ragnar Locker ».

À travers le monde, 27 cyberattaques ont été attribuées ou revendiquées par le groupe en 2020, 14 en 2021, puis 20 en 2022 et 16 cette année. 

Si le gang Ragnar Locker ne semble pas très prolifique, comparé à d’autres groupes, il apparaît concentrer ses efforts sur des cibles de haut niveau. Sa première victime a été connue début avril 2020 : l’armateur MSC. D’autres ont hélas suivi : l’énergéticien EDP, Carlson WagonLit Travel, le groupe Campari, Capcom, CMA-CGM, ou encore Dassault Falcon Jet, et même fin 2021 LDLC. En France, Ragnar Locker a récemment revendiqué des cyberattaques contre Astre, Comeca, et Fructa Partner. 

Les membres de Ragnar Locker apparaissaient patients et méthodiques. Dans un échange avec la rédaction en décembre 2020, au sujet de l’attaque conduite contre Dassault Falcon Jet, ils nous ont ainsi indiqué être restés tapis dans le système d’information de l’avionneur pendant plus de six mois. 

Le groupe apparaît fonctionner de manière relativement fermée, bien plus en tout cas qu’une opération de ransomware en mode service (RaaS) telle que LockBit 3.0. 

Les indicateurs fournis par le FBI sur trois adresses Bitcoin utilisées par Ragnar Locker début 2021 suggèrent une gestion méticuleuse des flux financiers afin d’essayer de brouiller les pistes au mieux. 

Pour autant, cela n’a pas empêché l’interpellation, début octobre 2021, de « deux opérateurs prolifiques de ransomware », en Ukraine, avec déjà l’aide de la Gendarmerie nationale. Nos confrères de la Lettre A avaient peu après confirmé que ces interpellations concernaient le groupe Ragnar Locker.

Dans un communiqué de presse, la division cyber de la police ukrainienne indique que Ragnar Locker a fait 168 victimes « en Europe et en Amérique », et formulé des demandes de rançon allant de 5 à 70 millions de dollars. 

Le communiqué fait ressortir une organisation qui n’est pas sans rappeler celle de Conti, à une échelle plus modeste, avec des membres responsables de l’étude de la surface d’attaque exposée de victimes potentielles, et d’autres chargés de l’exploitation de points d’entrées, etc.

L’opération judiciaire internationale a permis l’interpellation d’un membre du groupe à Kiev, mais également celle d’un développeur en France. D’autres membres du groupe ont été interpelés en Espagne, Lettonie et en République tchèque.