Le gang du ransomware Ragnar Locker a été démantelé grâce à une collaboration internationale entre la police et les autorités telles qu'Europol et le FBI. Le groupe était responsable de plus de 100 attaques de ransomware, notamment contre des infrastructures critiques.
Cette semaine, les forces de l’ordre et les autorités judiciaires de onze pays ont démantelé l’un des gangs de ransomwares les plus dangereux. L'action, coordonnée au niveau international par Europol et Eurojust, était dirigée contre le groupe de ransomware Ragnar Locker. Le groupe est responsable de nombreuses attaques très médiatisées contre des infrastructures critiques à travers le monde.
Ragnar Locker assommé et arrêté
Dans le cadre d'une opération menée du 16 au 20 octobre, des perquisitions ont été menées en République tchèque, en Espagne et en Lettonie. La « cible principale » du groupe de ransomwares a été arrêtée à Paris, en France, le 16 octobre et son domicile en République tchèque a été perquisitionné. Dans les jours suivants, cinq suspects ont été interrogés en Espagne et en Lettonie. A la fin de la semaine d'action, l'auteur principal, soupçonné d'être un développeur du groupe Ragnar, a été déféré devant les juges d'instruction du tribunal de grande instance de Paris.
L'infrastructure du groupe permettant d'utiliser le ransomware a été saisie aux Pays-Bas, en Allemagne et en Suède, et le site Web de fuite associé sur Tor en Suède a été supprimé. Cette opération internationale faisait suite à une enquête complexe menée par la Gendarmerie nationale française en collaboration avec les forces de l'ordre de République tchèque, d'Allemagne, d'Italie, du Japon, de Lettonie, des Pays-Bas, d'Espagne, de Suède, d'Ukraine et des États-Unis d'Amérique. Dans le cadre de cette enquête, une première vague d'arrestations a été réalisée en Ukraine en octobre 2021 avec le soutien d'Europol.
Quel type de malware est Ragnar Locker ?
Actif depuis décembre 2019, Ragnar Locker est le nom d'une variante du ransomware et du groupe criminel qui l'a développé et exploité. Les acteurs se sont fait un nom en attaquant des infrastructures critiques à travers le monde, plus récemment contre la compagnie aérienne portugaise et un hôpital en Israël.
Cette variante du ransomware ciblait les appareils exécutant les systèmes d'exploitation Microsoft Windows et utilisait généralement des services exposés tels que Remote Desktop Protocol pour accéder au système. Le groupe Ragnar Locker était connu pour utiliser une double tactique d'extorsion, exigeant des paiements exorbitants pour les outils de décryptage ainsi que pour ne pas divulguer les données sensibles volées.
Les forces de l’ordre n’ont pas lâché prise
Dès octobre 2021, les enquêteurs de la Gendarmerie française et du FBI américain ainsi que des spécialistes d'Europol et d'INTERPOL, déployés en Ukraine pour mener des opérations d'enquête aux côtés de la police nationale ukrainienne, qui ont abouti à l'arrestation de deux éminents opérateurs de Ragnar Locker.
L'enquête s'est poursuivie depuis, aboutissant à des arrestations et à des perturbations cette semaine. Le Centre européen de lutte contre la cybercriminalité d'Europol a soutenu l'enquête dès le début et a rassemblé tous les pays concernés pour développer une stratégie commune.
Ses spécialistes en cybercriminalité ont organisé 15 réunions de coordination et deux sprints d’une semaine pour préparer les dernières mesures, en plus de fournir une assistance en matière d’analyse, de malware, de criminalistique et de traçage cryptographique.
Coopération internationale contre Ragnar Locker
Les autorités suivantes ont été impliquées dans l'enquête. L'enquête a été menée dans le cadre de la Plateforme multidisciplinaire européenne contre les menaces criminelles (EMPACT).
- République tchèque : Agence nationale de lutte contre le terrorisme, l'extrémisme et la cybercriminalité de la police de la République tchèque
- France : Centre national de lutte contre la cybercriminalité de la gendarmerie française (Gendarmerie Nationale – C3N)
- Allemagne : Bureau de police criminelle de l'État de Saxe, Bureau fédéral de police criminelle
- Italie : Police d'État (Polizia di Stato), Police des postes et des communications (Polizia Postale e delle Comunicazioni)
- Japon : Agence nationale de police (NPA)
- Lettonie : Police d'État (Latvijas Valsts Policija)
- Pays-Bas : Police des Pays-Bas orientaux (Politie Oost-Nederland)
- Espagne : Guardia Civil (Guardia Civil)
- Suède : Centre suédois de lutte contre la cybercriminalité (SC3)
- Ukraine : Département de cyberpolice de la police nationale d'Ukraine (Національна поліція України)
- États-Unis : Bureau extérieur du Federal Bureau of Investigation d'Atlanta