Un développeur présumé du ransomware LockBit, Rostislav Panev, a été extradé d’Israël vers les États-Unis. Il est accusé d’avoir joué un rôle clé dans le développement du malware, responsable de milliers d’attaques à travers le monde.
Rostislav Panev, un développeur présumé du célèbre ransomware LockBit, a été extradé d’Israël vers les États-Unis. Cet homme de 51 ans, de nationalité russo-israélienne, est accusé d’avoir contribué à la création et à la maintenance du code de LockBit, un malware qui a frappé plus de 2 500 victimes dans 120 pays. Le ministère américain de la Justice (DOJ) affirme que Panev a joué un rôle essentiel dans la personnalisation des attaques, permettant aux affiliés du réseau de mener des campagnes de rançongiciels ciblées contre des entreprises, des hôpitaux, des écoles et des gouvernements locaux. Cette extradition marque une nouvelle étape dans la traque internationale des cybercriminels de LockBit, après le démantèlement du réseau en février 2024 par une opération conjointe du FBI et du National Crime Agency (NCA) britannique.
Un rôle clé dans l’organisation de LockBit
Rostislav Panev n’était pas un simple exécutant : selon les procureurs américains, il faisait partie du noyau dur des développeurs de LockBit. De 2019 jusqu’à son arrestation en août 2024, il aurait participé activement à la création de multiples versions du malware, facilitant ainsi les attaques menées par le réseau. Le code conçu par Panev permettait aux affiliés de personnaliser leurs campagnes d’extorsion, rendant le ransomware plus efficace et plus difficile à détecter par les systèmes de sécurité.
Le DOJ affirme que Panev était en contact direct avec Dimitry Yuryevich Khoroshev, alias LockBitSupp, considéré comme le chef présumé du réseau. Des documents judiciaires révèlent que Panev aurait reçu des paiements mensuels en cryptomonnaie d’environ 10 000 dollars entre juin 2022 et février 2024. Au total, il aurait perçu plus de 230 000 dollars, blanchis par le biais de services de mixage de cryptomonnaies.
Lors de son arrestation en Israël, les enquêteurs ont découvert des preuves accablantes. Les autorités ont mis la main sur un dépôt en ligne, hébergé sur le dark web, contenant le code source de plusieurs versions de LockBit. Ce dépôt permettait aux affiliés de générer des variantes personnalisées du ransomware pour contourner les systèmes de défense des entreprises ciblées. En plus du code source, les enquêteurs ont saisi des outils d’exfiltration de données et des panneaux de contrôle utilisés pour gérer les attaques en temps réel.
« Si vous participez au complot LockBit, nous vous retrouverons et vous poursuivrons en justice. »
— John Giordano, procureur américain
Les procureurs américains estiment que Panev n’agissait pas seul. Le réseau LockBit fonctionnait sur un modèle d’affiliation : les développeurs, comme Panev, fournissaient le logiciel et l’infrastructure technique, tandis que les affiliés menaient les attaques et négociaient les rançons. Les profits étaient ensuite partagés entre les deux parties.
La chute de LockBit : un coup de filet international
Le réseau LockBit a été l’un des groupes de ransomware les plus actifs et destructeurs au monde. Il est responsable de plus de 500 millions de dollars de rançons versées par les victimes depuis sa création. Les attaques ont frappé des institutions majeures, des multinationales, mais aussi des infrastructures critiques comme des hôpitaux et des écoles.
En février 2024, le National Crime Agency (NCA) du Royaume-Uni a coordonné une opération d’envergure internationale avec le soutien du FBI, d’Europol et de plusieurs partenaires internationaux. Cette opération a permis de saisir les sites web de LockBit et de neutraliser une grande partie de son infrastructure technique. Grâce à ces informations, un outil de décryptage a été mis au point, permettant à de nombreuses victimes de récupérer leurs fichiers sans payer de rançon.
Ce coup de filet a permis de révéler la structure interne du réseau. Les enquêteurs ont identifié plusieurs membres clés du groupe. Rostislav Panev est le septième membre de LockBit à être poursuivi par la justice américaine. Deux autres opérateurs présumés, Mikhail Vasiliev et Ruslan Astamirov, ont plaidé coupable l’année dernière pour leur rôle dans les attaques.
Les autorités américaines sont toujours à la recherche de Dimitry Yuryevich Khoroshev, le cerveau présumé du réseau. Le département d’État a offert une récompense de 10 millions de dollars pour toute information menant à sa capture. Parmi les autres membres en fuite figurent Artur Sungatov et Ivan Kondratyev, tous deux inculpés pour leur implication dans des attaques menées par LockBit.
« Les transferts de cryptomonnaies totalisant 230 000 dollars prouvent le rôle actif de Panev dans la gestion du ransomware. »
En mai 2023, Mikhail Matveev, connu sous le nom de Wazawaka, a été inculpé par les autorités américaines avant d’être arrêté en Russie en décembre 2024. Il est accusé d’avoir participé à plusieurs attaques majeures sous la bannière de LockBit. Wazawaka a été libéré quelques jours plus tard. Depuis, il est devenu trés discret.
Une menace persistante malgré le démantèlement
Si l’infrastructure principale de LockBit a été démantelée, les enquêteurs estiment que le risque de réapparition du réseau est élevé. Le modèle d’affiliation utilisé par LockBit a prouvé son efficacité, et certains affiliés pourraient rejoindre d’autres groupes criminels ou tenter de recréer une nouvelle version du ransomware. On le voit d’ailleurs avec l’émergence d’un ransomware agressif du nom de Mora_001.
Le FBI et les forces de l’ordre internationales poursuivent leurs efforts pour traquer les membres restants du réseau. Les autorités américaines encouragent les victimes passées de LockBit à se manifester, car l’outil de décryptage développé grâce à l’opération de février 2024 pourrait leur permettre de récupérer leurs fichiers sans avoir à verser de rançon (verser une rançon à qui ????, NDR).
« Personne n’est à l’abri des attaques par ransomware. Mais grâce à nos partenaires internationaux, nous avons montré que nous pouvons frapper au cœur de ces réseaux criminels. »
— Terence Reilly, FBI
Vous voulez suivre les dernières actualités sur la cybersécurité ?
Pour rester informé sur les enjeux de cybersécurité, abonnez-vous à la newsletter de ZATAZ. Rejoignez également notre groupe WhatsApp et nos réseaux sociaux pour accéder à des informations exclusives, des alertes en temps réel et des conseils pratiques pour protéger vos données.
