Rostislav Panev, inculpé pour son rôle dans le développement de LockBit, attend son extradition vers les États-Unis après son arrestation en Israël.
Les autorités américaines ont récemment inculpé Rostislav Panev, un citoyen russo-israélien de 51 ans, pour son rôle présumé en tant que développeur au sein du groupe de ransomware LockBit.
Arrêté en Israël en août 2024, Panev est en attente d’extradition vers les États-Unis. Il est accusé d’avoir développé et maintenu le code malveillant de LockBit depuis la création du groupe en 2019, recevant plus de 230 000 $ en cryptomonnaie pour ses services.
Présentation de LockBit
LockBit est considéré comme l’un des groupes de ransomware les plus actifs et destructeurs au monde, ayant ciblé plus de 2 500 victimes dans au moins 120 pays, y compris des hôpitaux, des entreprises et des agences gouvernementales. Les membres du groupe ont extorqué au moins 500 millions de dollars en paiements de rançon, causant des milliards de dollars de dommages collatéraux.
Les autorités continuent de rechercher le présumé chef de LockBit, Dmitry Khoroshev, offrant une récompense pouvant atteindre 10 millions de dollars pour sa capture. Khoroshev aurait reçu à lui seul au moins 100 millions de dollars provenant des paiements de rançon liés à LockBit.
Actions des forces de l’ordre contre LockBit
Cette arrestation s’inscrit dans une série d’actions des forces de l’ordre contre les membres de LockBit. Plus tôt cette année, Mikhail Vasiliev et Ruslan Magomedovich Astamirov, deux affiliés du groupe, ont plaidé coupable à diverses accusations, notamment de complot en vue de commettre une fraude informatique.
Les autorités ont également mené des opérations pour démanteler l’infrastructure de LockBit. En février 2024, une opération conjointe du FBI, de la National Crime Agency britannique et d’autres agences internationales a conduit à la saisie de plusieurs sites web utilisés par le groupe. Bien que LockBit ait tenté de reprendre ses activités par la suite, ces actions ont considérablement perturbé ses opérations.
Résilience et menace persistante
Malgré ces efforts, LockBit continue de représenter une menace significative. Le groupe a récemment revendiqué des attaques contre des institutions majeures, notamment des hôpitaux et des entreprises de premier plan, démontrant sa résilience et sa capacité à s’adapter aux mesures de répression.
Modèle Ransomware-as-a-Service
Les cyberattaques utilisant des logiciels de rançon (ransomware) continuent de représenter une menace majeure pour les infrastructures critiques et les organisations dans le monde entier. L’un des groupes les plus prolifiques dans ce domaine est LockBit, un acteur majeur de l’écosystème Ransomware-as-a-Service (RaaS), qui a su se démarquer par la sophistication de ses outils et son modèle opérationnel bien établi.
LockBit, présent sur la scène depuis 2020, a adopté une approche RaaS, permettant à des affiliés de louer son infrastructure et ses logiciels en échange d’une part des rançons collectées. Ce modèle repose sur une collaboration entre les développeurs, responsables de la création et de l’amélioration du logiciel malveillant, et les affiliés, qui ciblent et infiltrent les systèmes des victimes. LockBit offre à ses affiliés des outils avancés, tels que des constructeurs personnalisables pour créer des charges utiles adaptées aux systèmes ciblés, et une interface de négociation des rançons.
Arrestation de Rostislav Panev
Les récentes avancées dans l’enquête sur LockBit ont conduit à l’arrestation de Rostislav Panev, développeur clé de l’organisation. Panev est accusé d’avoir joué un rôle crucial dans la maintenance et l’évolution du code malveillant utilisé par LockBit.
Arrêté en Israël, il attend son extradition vers les États-Unis où il fait face à de multiples chefs d’inculpation, notamment pour complot en vue de commettre des fraudes informatiques et des extorsions.
Charges retenues contre Rostislav Panev
Selon l’acte d’accusation, Panev aurait accédé et maintenu des crédentials sensibles liés à l’infrastructure LockBit, notamment un accès au panneau de contrôle permettant la gestion des attaques et la personnalisation des ransomwares. De plus, des traces de paiements en cryptomonnaies équivalents à des centaines de milliers de dollars ont été découvertes, indiquant des transactions entre Panev et les administrateurs de LockBit. Ces paiements ont été effectués via des services de mixage de cryptomonnaies, compliquant ainsi leur traçabilité.
Les enquêteurs ont également récupéré des fragments de codes source et des artefacts numériques sur les appareils de Panev, confirmant son implication dans le développement des versions avancées de LockBit, telles que LockBit 3.0 et StealBit, une fonctionnalité d’exfiltration de données. Parmi les fonctionnalités développées, on note une capacité à déployer des rançons imprimées sur les imprimantes des victimes, ajoutant une pression supplémentaire pour les pousser à payer.
Méthodes de fraude et impacts
L’acte d’accusation révèle un schéma de fraude élaboré où les accès initiaux aux systèmes victimes ont souvent été obtenus par des techniques d’hameçonnage ou grâce à des crédentials volés. Ces accès étaient ensuite utilisés pour effectuer des reconnaissances approfondies, préparer des attaques et déployer des charges utiles adaptées. Les négociations de rançons étaient conduites via une plateforme spécifique accessible uniquement sur le réseau TOR, renforçant l’anonymat des opérateurs.
Les actions des forces de l’ordre ont permis de récolter des preuves matérielles contre Panev, qui risque des poursuites pour plusieurs infractions graves. Ces avancées marquent une étape importante dans la lutte contre les organisations de cybercriminalité, mais soulignent également la complexité et l’échelle mondiale de ces opérations.
Pour en savoir plus
Les États-Unis révèlent des accusations contre le présumé développeur du ransomware LockBit
Le gouvernement américain a inculpé Rostislav Panev pour la création et la maintenance de logiciels malveillants pour LockBit, l’un des plus grands groupes de ransomware au monde.