L’arrestation à Paris, le 16 octobre dernier, d’une figure clé associée au gang ransomware Ragnar Locker est une victoire significative dans la lutte contre la cybercriminalité. Dans un communiqué du 20 octobre Europol annonce la réussite de cette action coordonnée au niveau international. Cette opération menée par les autorités policières et judiciaires de onze pays a porté un coup sévère à l’un des gang de ransomware le plus actif de ces dernières années. Cette arrestation est le résultat d’une coopération internationale sans précédent entre différentes forces de l’ordre. Elle souligne la détermination mondiale à traquer et neutraliser les cybercriminels, indépendamment de leurs lieux d’opération.
Une opération de grande ampleur
Le gang ransomware Ragnar Locker est dans le viseur des autorités internationales depuis un certain temps. Depuis sa création en décembre 2019 le groupe a été lié à des attaques contre 168 grandes entreprises à travers le monde. Une telle envergure d’opérations nécessitait une réponse à la hauteur.
Eurojust (l’Agence de l’Union européenne pour la coopération judiciaire en matière pénale), en collaboration avec les autorités françaises, a ouvert une enquête sur le gang en mai 2021. Cela a abouti à une série de réunions de coordination impliquant plusieurs nations pour garantir une collaboration judiciaire fluide tout au long de l’enquête.
L’arrestation récente en France n’était pas un événement isolé. Dans le cadre de l’opération conjointe, cinq suspects ont été interrogés en Espagne et en Lettonie. De plus, la police ukrainienne a effectué une descente à Kyiv, aboutissant à la saisie de plusieurs dispositifs électroniques, dont des ordinateurs portables et des téléphones mobiles, d’un autre membre présumé du gang.
Une collaboration internationale fructueuse
L’arrestation en France marque la dernière d’une série d’opérations conjointes contre le gang Ragnar Locker. Le groupe avait déjà été mis sous pression en septembre 2021, lorsqu’une collaboration entre les autorités françaises, ukrainiennes et américaines a conduit à l’arrestation de deux de ses membres en Ukraine. Cette dynamique s’est poursuivie en octobre 2022 lorsqu’un autre membre a été arrêté au Canada, grâce à un effort conjoint des forces de l’ordre françaises, canadiennes et américaines.
Des serveurs saisis en Europe et la fermeture du site de Ragnar Locker
L’un des points forts de l’opération a été la saisie des sites de négociation Tor et de fuite de données du Ragnar Locker, qui ont été fermés un jeudi récent. Les forces de l’ordre ne se sont pas arrêtées là. Elles ont réussi à fermer neuf serveurs associés au groupe : cinq aux Pays-Bas, deux en Allemagne et deux en Suède. Les visiteurs du site de fuite de données de Ragnar Locker ont été accueillis par une bannière indiquant que le site avait été saisi dans le cadre de l’action coordonnée contre le groupe. Ce dernier, accessible via le réseau TOR, servait à dévoiler publiquement les nouvelles cibles du groupe, intensifiant ainsi la pression sur les entreprises pour les inciter à payer. Si les victimes ne cédaient pas à la demande de rançon, leurs données étaient diffusées sur le site de fuite «Wall of Shame» (Le mur de la honte)
L’émergence et les tactiques du groupe de ransomware Ragnar Locker
Ragnar Locker, parfois appelé Ragnar_Locker ou simplement RagnarLocker, est apparu pour la première fois sur la scène de la cybercriminalité fin décembre 2019. Contrairement à de nombreux groupes de ransomware qui fonctionnent selon un modèle de Ransomware-as-a-Service (RaaS), Ragnar Locker a choisi une voie différente. Ils ont opéré de manière semi-privée, s’abstenant de recruter ouvertement des affiliés. Au lieu de cela, ils ont collaboré avec des testeurs de pénétration externes pour infiltrer et compromettre les réseaux.
Ce modèle opérationnel unique a permis au groupe de cibler des entités de premier plan, dont le fabricant de puces informatiques ADATA, la compagnie d’aviation Dassault Falcon et la société de jeux japonaise Capcom. En 2021 en France, parmi ses victimes notoires figurent le marchand d’équipements informatiques LDLC et la société française de fret maritime CMA-CGM. Ragnar Locker, connu pour s’attaquer essentiellement à de grosses entreprises compte à son actif pas moins de 168 victimes à travers le monde avec des demandes de très grosses rançons allant de 5 à 70 millions de dollars.
Une coopération internationale accrue et une vigilance toujours en éveil
L’essor de groupes tels que Ragnar Locker met en évidence la nécessité d’une coopération internationale renforcée face à la cybercriminalité. Devant à l’intensification et à la complexification des cybermenaces, des actions coordonnées sont primordiales pour assurer un environnement numérique sécurisé pour tous. Les récentes avancées contre le groupe ransomware Ragnar Locker illustrent le potentiel d’une collaboration internationale. Bien que la menace de la cybercriminalité demeure, la résilience et la détermination des forces de l’ordre internationales donnent l’espoir d’un monde numérique plus sûr. Il est crucial pour les utilisateurs de rester vigilants et de se prémunir contre les ransomwares pour garantir la sécurité de leurs données.
