2024 : une année phare pour la lutte contre la cybercriminalité

Un début d’année en fanfare

Le 20 janvier 2024, le Service fédéral de supervision financière de Russie a annoncé le démantèlement du groupe de ransomware « SugarLocker », responsable de multiples cyberattaques contre des institutions financières russes. L’opération, menée en collaboration avec le FSB et le ministère de l’Intérieur, a conduit à l’arrestation de cinq individus et à la saisie de plus de 50 millions de roubles en cryptomonnaies. Les autorités ont également confisqué des équipements informatiques et des documents prouvant l’implication des suspects dans ces activités criminelles. 

Le 19 février 2024, les forces de l’ordre de plusieurs pays, dont la France, lançaient le volet public d’une importante opération de déstabilisation à l’encontre de la franchise mafieuse LockBit 3.0. Le voile était levé sur l’opération Cronos, dont les répercussions ont fortement marqué l’écosystème de la cyber-extorsion tout au long de l’année.

Dans la foulée, le ministère américain de la Justice a rendu public un acte d’accusation inculpant les ressortissants russes Artur Sungatov et Ivan Kondratyev, alias Bassterlord, d’avoir utilisé la variante de ransomware LockBit. En juin 2023, Bassterlord avait revendiqué une cyberattaque contre TSMC.

Un printemps sans répit

Début mai 2024, l’identité de l’opérateur de la franchise LockBit 3.0, connu sous le pseudonyme de LockBitSupp, était à son tour publiquement désignée : Dmitry Yuryevich Khoroshev, ressortissant russe de 31 ans. Il fait désormais l’objet d’une récompense pouvant atteindre 10 millions de dollars, de la part du FBI et du ministère américain de la Justice. Outre-Atlantique, il est poursuivi pour 26 chefs d’accusation.

Quelques semaines plus tard, une autre opération d’envergure était dévoilée : Endgame. Celle-ci se concentre sur les toutes premières étapes de nombreuses cyberattaques débouchant sur le déclenchement de rançongiciels : elle vise des botnets utilisés en primo-compromission. Ont été là cités IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee et Trickbot.

Deux semaines après, mi-juin 2024, la police ukrainienne annonçait l’arrestation du développeur d’un maliciel spécialisé dans le maquillage d’autres maliciels, pour les faire passer au travers des antivirus et outres outils de détection, un packer, ou un cryptor. Âgé de 28 ans et natif de la région de Kharkiv, il a été identifié et interpellé à Kiev, en Ukraine. Il est accusé d’avoir notamment œuvré avec les enseignes Conti et LockBit.

En août 2024, l’agence britannique de lutte contre la criminalité organisée, la NCA, a annoncé l’extradition de Maksim Silnikau, « J.P. Morgan », vers les États-Unis. Il avait été arrêté un an plus tôt en Espagne. Il est accusé d’avoir dirigé une organisation criminelle de longue date : ses premières activités remonteraient à 2011 avec Reveton, premier ransomware en mode service.

Un second semestre intense

Deux semaines plus tard, on découvrait que Deniss Zolotarjovs, arrêté en décembre 2023 en Géorgie, avait également été extradé vers les États-Unis où il est notamment poursuivi pour sa participation présumée aux activités de l’enseigne Karakurt.

Début octobre, l’agence britannique de lutte contre la criminalité (National Crime Agency, NCA) a révélé l’identité d’un membre de haut niveau du collectif cybercriminel Evil Corp. Caché sous le pseudonyme de Beverley, il a également opéré en tant qu’affidé de la franchise mafieuse LockBit. L’opération Cronos aura permis de le désigner : Aleksandr Ryzhenkov, un homme de confiance de Maksim Yakubets, le chef d’Evil Corp. 

Ce n’est pas tout : le créateur et administrateur du ransomware en mode service Phobos a été extradé de Corée du Sud vers les États-Unis, le 4 novembre dernier. C’est ce que révélait un peu plus tard le ministère de la Justice américain, tout en dévoilant son identité : Evgenii Ptitsyn.

Ancien du monde russe de la cybercriminalité, celui qui est aussi connu sous les pseudonymes « Wazawaka » ou « boriselcin » (Mikhail Matveev) a été interpellé fin novembre à Kaliningrad. Il a lui-même confirmé son arrestation ainsi que sa mise en liberté sous caution.

Mais quelques jours plus tard, la NCA levait le voile sur une autre opération appelée Destabilise. Cette dernière a mis au jour et perturbé deux réseaux russes de blanchiment d’argent qui manipulaient notamment des fonds volés par le gang du ransomware Ryuk.

Enfin, juste à temps pour les fêtes de fin d’année, nos confrères de Ynet News révélaient que les États-Unis avaient, quelques mois plus tôt, demandé l’extradition de Rostislav Panev, un ressortissant israélien arrêté en août à Haïfa, et accusé d’avoir œuvré pour la franchise LockBit, de 2019 à son arrestation. C’est notamment à lui que l’on devrait les capacités d’impression des notes de rançon sur les imprimantes connectées aux hôtes chiffrés.

L’année 2025 s’ouvre quant à elle avec le procès d’un couple de ressortissants russes, à Bruxelles, accusés d’avoir développé et utilisé le ransomware Crylock à partir de 2014. Ils avaient été arrêtés en Espagne en juin 2023 avant d’être extradés en Belgique.