Cronos : l'opération dont LockBit ne s'est que partiellement et laborieusement relevé

Autrefois, le nom de LockBit semait la terreur parmi les organisations du monde entier. Aujourd'hui, cette marque de ransomware n'est plus que l'ombre d'elle-même.

Retour sur l’opération Cronos, cet effort policier international qui a porté un coup sévère à cette enseigne et qui constitue également le point de départ d’une campagne de guerre psychologique.

LockBit : grandeur et décadence d’un empire de la cyberextorsion

Apparu en 2019, LockBit s’est rapidement imposé dans le monde souterrain de la cybercriminalité. Il ne fonctionnait pas seulement comme une variante de rançongiciel, mais comme une plateforme sophistiquée de ransomware en mode service (RaaS).

Ce modèle permet à des affidés d’utiliser les outils et l’infrastructure de LockBit pour lancer leurs propres attaques en échange d’une partie des rançons, les opérateurs principaux prélevant généralement une commission de 20 %. Le groupe reste connu pour ses tactiques agressives de double extorsion, consistant à chiffrer les données d’une victime tout en les exfiltrant et menaçant de les publier sur leur site de fuites si la rançon n’était pas payée.

En juin 2022, LockBit a ouvert la version 3.0 de son programme RaaS, avec un nouveau rançongiciel empruntant au code de BlackMatter et son prédécesseur DarkSide, LockBit Black. Puis est venue la version « verte », début 2023, fruit d’une hybridation avec le ransomware de feu Conti. Début 2025, LockBit annonçait le passage de la quatrième version. Aujourd’hui, l’enseigne affiche fièrement une 5.0.

Entre-temps, un ancien développeur de LockBit Black a rendu public un « builder » de la franchise. Il s’agit de l’outil permettant de générer, pour une victime donnée, le rançongiciel ainsi que l’outil de déchiffrement associé. C’était en septembre 2022.

Très vite, le groupe Bl00dy a commencé à utiliser le générateur de LockBit Black divulgué sur Internet. Quelques jours plus tard, un second s’y mettait, s’appelant « National Hazard Agency ». Ce « builder » a notamment été utilisé en France contre l’hôpital André-Mignot au Chesnay-Rocquencourt.

L’enseigne DragonForce a commencé ses activités avec lui, avant d’élargir son offre et de monter en gamme. À l’époque, au printemps 2024, elle était loin d’être la seule à en faire usage.

Un règne de terreur numérique : les attaques de haut profil

La notoriété de LockBit s’est construite sur ses attaques réussies contre de grandes organisations, démontrant les capacités de ses affidés.

La cyberattaque contre Boeing

En octobre 2023, le géant de l’aérospatiale Boeing a été victime d’une attaque impliquant LockBit qui a touché ses activités de pièces détachées et de distribution. Le groupe a affirmé avoir exfiltré une « quantité énorme de données sensibles » et a exigé une rançon stupéfiante de 200 millions de dollars. Après le refus de Boeing de payer, LockBit a publié environ plusieurs gigaoctets de données internes de l’entreprise.

Les attaquants ont pénétré le système d’information en exploitant la vulnérabilité dite « Citrix Bleed » (CVE-2023-4966). Cette faille critique permet à un attaquant de contourner les exigences de mot de passe et l’authentification multifacteur (MFA), lui donnant la possibilité de détourner des sessions utilisateur légitimes.

Les données divulguées comprenaient des sauvegardes de configuration pour des logiciels de gestion informatique et des journaux d’outils de surveillance. Bien que Boeing ait confirmé que l’attaque n’affectait pas la sécurité des vols, l’incident a souligné la menace importante que représentait l’enseigne de ransomware.

L’attaque de la chaîne logistique du ministère de la Défense britannique

Début août 2023, LockBit a mené une attaque qui a indirectement conduit à la compromission de données liées au ministère de la Défense (MoD) du Royaume-Uni. La cible réelle n’était pas le MoD lui-même, mais l’un de ses fournisseurs, Zaun, une entreprise spécialisée dans la sécurité physique de certains des sites les plus sensibles du Royaume-Uni.

L’intrusion a été rendue possible par un unique PC obsolète sous Windows 7 sur le réseau de Zaun, utilisé pour faire fonctionner un logiciel de machine de fabrication.

Bien que les mesures de cybersécurité primaires de Zaun aient empêché le chiffrement de ses serveurs, LockBit a réussi à exfiltrer environ 10 Go de données. Ces données comprenaient des e-mails historiques, des dossiers de projets et des détails relatifs aux équipements de sécurité de sites hautement sensibles, tels qu’une base de sous-marins nucléaires, un laboratoire d’armes chimiques et un poste d’écoute du GCHQ. Après que Zaun n’ait pas engagé de négociations, LockBit a divulgué les données volées.

Quelques mois plus tôt, LockBit avait déjà fait les gros titres, outre-Manche, avec une cyberattaque menée contre l’éditeur de logiciels de trading Ion Group : elle avait provoqué le chaos chez les traders de la City de Londres, les empêchant d’effectuer des tâches essentielles. Et ce n’était encore là que quelques semaines après l’attaque contre le Royal Mail. Les assaillants réclamaient 80 millions de dollars à la poste britannique.

En France, un été 2022 marqué par les attaques contre La Poste Mobile et le Centre Hospitalier Sud-Francilien

LockBit n’a pas non plus manqué de s’illustrer dans l’Hexagone, avec notamment deux faits d’armes particulièrement marquants en 2022.

Tout a commencé le 4 juillet. Ce jour-là, la Poste Mobile se découvrait victime d’une cyberattaque conduite par un affidé de la franchise LockBit 3.0. Des messages de clients publiés sur Twitter trahissaient la réalité d’une situation qui ne devait être reconnue publiquement que 4 jours plus tard : problèmes d’activation de ligne, impossibilité d’obtenir le précieux RIO indispensable à une portabilité, service client injoignable par téléphone, pas d’accès à l’application mobile ni au site… L’assaillant exigeait initialement une rançon de 1,4 million de dollars. Rapidement, il reverra à la baisse ses prétentions, jusqu’à descendre à 300 000 $. Mi-août, la direction de la communication du groupe La Poste indiquera : « la Poste Mobile a refusé de payer la rançon qui lui était demandée. Nous n’avons pas d’autres commentaires à apporter ».

Le lundi 22 août 2022 au matin, RMC révélait que le centre hospitalier Sud-Francilien (CHSF), à Corbeil-Essonnes, avait été victime d’une cyberattaque avec ransomware, durant le week-end. L’attaquant avait commencé, environ 12 jours plus tôt, à accéder au système d’information de l’établissement via l’accès réseau privé virtuel (VPN), détournant le compte d’un tiers externe à l’établissement. Le 25 août suivant, le cybercriminel a demandé une rançon de 1 million de dollars. Le CHSF a mis de nombreux mois à retrouver des conditions opérationnelles normales.

Début décembre 2023, LockBit faisait à nouveau parler de lui en France, avec l’attaque contre l’ESN Coaxis. Son PDG, Joseph Veigas, témoignera à plusieurs reprises de cet épisode traumatisant, jusqu’à un documentaire produit par Orange Cyberdefense sur l’opération Cronos.

Au Japon, les activités du port de Nagoya fortement affectées

C’est le 4 juillet 2023 que l’opérateur des infrastructures du port de Nagoya a découvert les dégâts : il venait d’être victime d’une cyberattaque conduite avec le rançongiciel de LockBit.

L’association était toutefois préparée à une telle éventualité : dès l’annonce de l’incident, elle a indiqué que les efforts de restauration des systèmes affectés seraient engagés le 5 juillet, avec un objectif de reprise des activités dès le lendemain à 8h30.

Cette échéance a été toutefois repoussée en raison de délais rencontrés lors de la restauration, mais de peu : en début de journée, le 6 juillet, l’association évoquait une reprise des activités durant l’après-midi.

Opération Cronos : pirater les pirates

En février 2024, dans un retournement de situation spectaculaire, un effort international coordonné, baptisé « Opération Cronos », a réussi à infiltrer et à démanteler les opérations de LockBit.

La coalition internationale et le démantèlement technique

L’opération était un effort complexe et multidimensionnel mené par la National Crime Agency (NCA) du Royaume-Uni en étroite coopération avec le Federal Bureau of Investigation (FBI) américain, Europol et les forces de l’ordre de dix autres pays. Plutôt que de simplement mettre les serveurs hors ligne, les autorités ont efficacement « piraté les pirates », démontrant leur propre supériorité technique....

Des rapports non officiels indiquent que le point d’entrée crucial pour les forces de l’ordre était une vulnérabilité dans le langage de programmation PHP, plus précisément la CVE-2023-3824. Cette vulnérabilité de dépassement de tampon de pile, présente dans plusieurs versions de PHP 8, aurait été exploitée pour pénétrer les serveurs hébergeant le panneau d’administration des affiliés de LockBit.

Image présentée à qui cherchait à visiter le site vitrine de la franchise mafieuse LockBit 3.0 ou l'un de ses miroirs lors de l'opération Cronos.

Lors d’une action coordonnée entre les 19 et 20 février 2024, la coalition a pris le contrôle de l’infrastructure centrale de LockBit. Au total, 34 serveurs ont été saisis aux Pays-Bas, en Allemagne, en Finlande, en France, en Suisse, en Australie, aux États-Unis et au Royaume-Uni. Les autorités ont mis la main sur le principal site de fuites du groupe sur le dark web – le panneau d’administration des affiliés et leur outil d’exfiltration de données sur mesure – connu sous le nom de « Stealbit ». Plus de 200 comptes de cryptomonnaie liés à l’organisation ont été gelés.

Arrestations et inculpations

L’opération s’est étendue au-delà du domaine numérique, avec des arrestations coordonnées d’affiliés de LockBit en Pologne et en Ukraine.

Les autorités ont arrêté un homme de 38 ans, à Varsovie. Il était soupçonné d’être un affilié clé, responsable du déploiement de ransomwares contre des réseaux de victimes, et a ensuite été extradé vers les États-Unis.

La cyberpolice ukrainienne, avec l’aide des forces de l’ordre françaises, a appréhendé un père et son fils à Ternopil pour leur implication présumée dans des attaques contre des entités en France. Dans une action distincte, un homme de 28 ans de la région de Kharkiv a été arrêté pour avoir développé des outils utilisés pour masquer le malware de LockBit aux logiciels antivirus.

Le ministère de la Justice américain a également levé les scellés sur les actes d’accusation contre deux ressortissants russes, Artur Sungatov et Ivan Kondratyev (alias « Bassterlord »), pour leur rôle en tant qu’affiliés de LockBit.

De tels scellés avaient été levés un an plus tôt sur les actes d’accusation de Wazawaka, aussi connu sous les pseudonymes de m1x, Boriselcin, et Uhodiransomwar, Mikhail Matveev. Il a été arrêté en Russie en décembre 2024. D’autres arrestations sont survenues dans les mois précédents. Un développeur a également été interpellé en Israël fin 2024.

Inverser le scénario : Guerre psychologique et aide aux victimes

Mais l’opération Cronos n’était pas qu’un démantèlement technique. C’était également une campagne sophistiquée d’opérations psychologiques (PsyOps) et un effort massif de remédiation pour les victimes.

Une leçon de maître en guerre psychologique

Les forces de l’ordre ont ingénieusement réutilisé le propre site de fuites de LockBit, transformant une plateforme d’extorsion en une scène de moquerie et d’exposition publique.

Le message initial sur le site saisi indiquait : « ce site est maintenant sous le contrôle des forces de l’ordre », affiché à côté des drapeaux des nations participantes. Les autorités ont ensuite imité le style caractéristique de LockBit en utilisant des comptes à rebours pour créer une attente autour d’une série de révélations. À l’expiration des minuteurs, le site publiait des communiqués de presse et des détails exposant les rouages internes du groupe, au lieu de données de victimes.

Une tactique clé consistait à saper la confiance entre LockBit et son réseau mondial d’affidés. Les forces de l’ordre ont publié une liste de noms d’utilisateurs d’affidés et envoyé des messages personnalisés à ceux qui se connectaient à leurs panneaux de contrôle, les informant que les autorités avaient pris le contrôle et pourraient les contacter. Cela a créé un climat de peur, de suspicion et de désarroi, rendant toute association avec LockBit extrêmement risquée.

En tout, quelque 30 000 adresses Bitcoin ont été identifiées, dont plus de 500 sont présentées comme actives et ayant reçu près de 100 millions de livres sterling, selon le cours du Bitcoin de l’époque. Avec au milieu, un trésor de guerre considérable, avec plus de 2 200 btc n’ayant pas été dépensés : « ces fonds représentent une combinaison des paiements des victimes et de LockBit », dont une part dite « élevée » relèvera de la commission de 20 % payée par les affidés aux opérateurs de la franchise, expliquait alors la NCA britannique.

Une bouée de sauvetage pour les victimes : déchiffrement et récupération

Un objectif principal de l’opération était de fournir une aide directe aux victimes. L’infrastructure saisie a permis de récupérer un nombre massif de clés de déchiffrement, que les autorités ont mises à disposition gratuitement.

Initialement, la NCA a annoncé avoir obtenu plus de 1 000 clés. Ce nombre est passé à 2 500, et en juin 2024, le FBI a confirmé avoir récupéré plus de 7 000 clés de déchiffrement.

Pour distribuer ces clés, la coalition a mis en place plusieurs canaux. Le site web du projet « No More Ransom » est devenu une plateforme centrale pour les victimes du monde entier afin d’accéder aux outils de récupération.

La police japonaise, avec le soutien d’Europol et du FBI, a développé un outil spécifique appelé « Decryption Checker for Lockbit 3.0 Ransomware ».

Les autorités ont mis en place des points de contact dédiés pour une assistance directe, notamment le site web lockbitvictims.ic3.gov pour les victimes américaines et l’adresse e-mail [email protected] pour celles du Royaume-Uni.

Les retombées : démasquer le cerveau et briser le mythe

L’impact total de l’Opération Cronos s’est révélé dans les semaines qui ont suivi, offrant un aperçu sans précédent de l’intérieur du groupe de ransomware le plus prolifique au monde.

Démasquer et sanctionner « LockBitSupp »

Une partie importante de la campagne de PsyOps visait le chef du groupe, « LockBitSupp ». Les forces de l’ordre ont publié une tuile sur le site saisi intitulée « Qui est LockbitSupp ? » et l’ont nargué, affirmant connaître son vrai nom, sa localisation et sa fortune. Cette campagne a culminé le 7 mai 2024, lorsque les autorités ont publiquement démasqué l’administrateur présumé comme étant Dmitry Yuryevich Khoroshev, un ressortissant russe.

Cette révélation a été suivie de sanctions internationales coordonnées et d’actions en justice. L’Office of Foreign Assets Control (OFAC) du département du Trésor a désigné Khoroshev, gelant ses avoirs sous juridiction américaine. Le ministère de la Justice a levé les scellés sur un acte d’accusation de 26 chefs, et le département d’État a offert une récompense allant jusqu’à 10 millions de dollars pour toute information menant à son arrestation ou à sa condamnation.

Le Royaume-Uni et l’Australie ont imposé des gels d’avoirs et des interdictions de voyager, rendant criminel le fait de fournir des actifs à Khoroshev ou de traiter avec ses avoirs.

Une mine de renseignements : la réalité derrière la façade

L’infrastructure saisie a fourni une mine de renseignements que les forces de l’ordre et des chercheurs ont utilisée pour démanteler la crédibilité de LockBit.

L’analyse des serveurs saisis a révélé que LockBit n’avait pas systématiquement supprimé les données des victimes qui avaient payé des rançons, malgré leurs promesses. Cette révélation a brisé un principe fondamental du modèle économique des rançongiciels et a gravement nui à la réputation du groupe.

Qui plus est, les activités de LockBit 3.0 n’ont vraisemblablement pas profité à beaucoup d’affidés. Selon les forces de police impliquées dans l’opération Cronos, 114 des affidés enregistrés dans l’infrastructure de LockBit avant le lancement de l’opération n’en ont jamais retiré un kopeck.

Dans le détail, un maximum de 80 affidés semble avoir réussi à retirer des bénéfices pécuniaires de leur engagement avec la franchise.

Mais au total, quelque 7 000 attaques auraient été conduites, entre juin 2022 et février 2024 en profitant de l’infrastructure de LockBit 3.0. Des discussions auraient été engagées avec 47 victimes françaises durant la période, sur un total de 178.

Ces chiffres, rapportés aux revendications publiées lorsqu’une victime ne paie pas, ainsi qu’aux délais observés pour la publication de certaines revendications, suggèrent que de nombreuses victimes n’ayant pas cédé au chantage n’ont jamais été épinglées sur le site vitrine de la franchise mafieuse. Ce qui tend également à suggérer un taux de succès des attaques – lorsqu’elles débouchent sur un paiement, donc – bien plus limité que de nombreuses estimations (et encore plus de sondages) ne le suggéraient jusqu’ici.

En 2025, l’analyse d’une base de données MySQL divulguée d’un panneau d’administration d’affidés a fini de briser le mythe d’une vaste armée active de cybercriminels. Les données ont révélé que sur 75 comptes utilisateurs, seuls 44 avaient été réellement utilisés pour générer des ransomwares, et au moment de la saisie, seuls 7 affiliés semblaient être « vraiment actifs ». Le nombre d’affiliés actifs est passé de 193 à seulement 69 dans les mois suivant l’opération.

La relance ratée : un coup de bluff

Après le démantèlement, « LockBitSupp » a tenté de relancer le site de divulgation de données et de projeter une image de résilience, affirmant que l’opération était un échec. Cependant, il ne s’agissait en grande partie que d’un bluff.

L’activité de l’enseigne a effectivement repris. Mais bien moins que son opérateur n’essayait de le faire croire : la majorité des revendications se rapportait à des faits bien antérieurs.

La NCA britannique a estimé que le groupe fonctionnait à « capacité limitée » et que la menace mondiale de LockBit avait été « considérablement réduite ». Les données ont montré une chute de 73 % du nombre moyen d’attaques mensuelles de LockBit au Royaume-Uni.

Fait crucial, les analyses ont montré que même après la tentative de relance, LockBit a subi une baisse de revenus de près de 80 %, confirmant sa capacité opérationnelle sévèrement diminuée.

Deux ans plus tard, la franchise LockBit est toujours active. Mais à un niveau bien inférieur à celui atteint avant l’opération Cronos.

L’héritage de LockBit et l’avenir des ransomwares

L’Opération Cronos est un succès historique dans la lutte contre la cybercriminalité. Elle a démontré la force de la coopération internationale et l’efficacité de la combinaison de démantèlements techniques avec une guerre psychologique innovante. L’opération a non seulement perturbé une entreprise criminelle majeure, mais a également fourni des renseignements inestimables et des milliers de clés de déchiffrement pour aider les victimes.

Un vide de pouvoir sur le marché du RaaS

La perturbation du fournisseur de RaaS le plus dominant au monde a créé un vide de pouvoir et a provoqué une onde de choc dans la communauté de la cybercriminalité, laissant derrière elle un écosystème fortement fragmenté. La menace des ransomwares est loin d’être terminée, car d’autres groupes se sont empressés de combler le vide laissé par LockBit.

chart visualization

D’anciens affiliés de LockBit ont migré vers d’autres plateformes. Des groupes tels que INC., Medusa, Play, Qilin et RansomHub ont vu leur activité augmenter alors qu’ils se disputaient des parts de marché.

L’histoire de LockBit et de l’Opération Cronos constitue une étude de cas cruciale pour comprendre la dynamique de la cybercriminalité moderne et les efforts continus et adaptatifs nécessaires pour la combattre.

Pour approfondir sur Menaces, Ransomwares, DDoS