ZATAZ » Tymoshchuk, cerveau présumé de LockerGoga recherché par les États-Unis et l’Europe

Un Ukrainien est accusé d’avoir administré plusieurs rançongiciels responsables de centaines d’attaques en Europe et aux États-Unis. Washington offre 11 millions d’euro pour sa capture. Europol veut sa tête !

Washington et Europol [avec l’assistance de la police française] accuse un ressortissant ukrainien d’avoir géré les rançongiciels LockerGoga, MegaCortex et Nefilim, utilisés entre 2018 et 2021 pour frapper des centaines d’entreprises et infrastructures. L’homme, toujours fugitif, fait l’objet d’un mandat international et d’une récompense de plusieurs millions. Ces souches de malwares avaient paralysé des industriels majeurs, dont Norsk Hydro. Le ministère américain de la Justice insiste sur l’ampleur des pertes, plus de 104 millions de dollars US (96,7 millions €) pour LockerGoga seul, et sur la sophistication des équipes impliquées. Derrière les chiffres se dessine une stratégie criminelle d’industrialisation du chantage numérique, qui inquiète les agences de cybersécurité et relance les coopérations policières transatlantiques.

Un administrateur accusé d’industrialiser le chantage numérique

Le tribunal fédéral de New York a révélé une mise en accusation datant de mai 2024 visant Volodymyr Viktorovich Tymoshchuk, alias « deadforz », « Boba », « msfv » ou « farnetwork ». Entre 2018 et 2021, il aurait administré plusieurs familles de rançongiciels utilisées pour extorquer plus de 250 victimes aux États-Unis et des centaines d’autres en Europe.

Selon l’acte d’accusation, ces opérations ont causé des millions de dollars de pertes et bloqué totalement certaines activités industrielles et hospitalières jusqu’à restitution ou restauration des données. Joseph Nocella Jr., procureur américain, l’a décrit comme un « criminel récidiviste du rançongiciel », ciblant prioritairement entreprises américaines, structures de santé et industries.

LockerGoga reste associé à l’attaque spectaculaire de Norsk Hydro en 2019, qui avait paralysé une partie de la production d’aluminium norvégienne. La souche a aussi frappé Altran en France, ainsi que les industriels chimiques Hexion et Momentive. Les procureurs soulignent que Tymoshchuk créait systématiquement de nouvelles variantes dès qu’un décrypteur était rendu public, ce qui prolongeait sa capacité de nuisance.

Une traque internationale et des déchiffreurs publics

Les autorités américaines ont émis plusieurs chefs d’accusation : deux pour conspiration en vue de fraude, trois pour atteinte intentionnelle à un ordinateur protégé, un pour accès non autorisé et un pour menace de divulgation de données confidentielles.

Le FBI rappelle que certaines attaques n’ont pas abouti grâce aux alertes envoyées à temps aux entreprises compromises. Europol et plusieurs pays européens avaient déjà arrêté douze suspects en octobre 2021, lors d’une vaste opération conjointe visant LockerGoga et MegaCortex. En 2023, de nouvelles arrestations ont démantelé une partie du réseau criminel.

Parallèlement, des décrypteurs gratuits sont parus : l’un pour LockerGoga en 2022 via le projet « No More Ransomware », l’autre pour MegaCortex début 2023. Selon Bitdefender, MegaCortex reposait sur une équipe structurée, exploitant vulnérabilités connues ou infections préexistantes (Emotet, Qakbot).

Récompenses, coopérations et dérives du cybercrime organisé

Tymoshchuk reste introuvable. Le département d’État américain offre 10 millions d’euros pour toute information menant à son arrestation. Les autorités précisent qu’elles cherchent aussi d’éventuels complices liés aux souches Nefilim, LockerGoga et MegaCortex.

Le FBI souligne que les attaques visaient explicitement à perturber les opérations jusqu’au paiement d’une rançon. Cette logique de chantage, industrialisée et déployée par vagues successives de malwares, illustre la professionnalisation du cybercrime.