Et de deux ! Sept mois après l’arrestation d’un hacker russo-canadien au Canada, une deuxième personne suspectée d’être un affilié du redoutable gang de cybercriminels LockBit a été arrêtée. La justice américaine vient en effet de mettre le grappin en Arizona sur Ruslan Magomedovich Astamirov, un jeune russe de 20 ans originaire de Tchétchénie. Le FBI soupçonne ce jeune homme d’être derrière cinq attaques informatiques commises entre août 2020, date à laquelle il était encore mineur, et mars 2023.



Cette chronologie suggère qu’il pourrait être un affilié de longue date de ce gang de rançongiciel, des cybercriminels qui tentent d’arracher des rançons après avoir chiffré ou volé des données. Ainsi, même s’il semble avoir été moins investi que le hacker arrêté en novembre, un suspect accusé d’être derrière plus d’une centaine de tentatives d’extorsion en France, c’est un nouveau coup de filet judiciaire contre LockBit. C’est d’ailleurs le troisième en moins d’un an, en comptant l’inculpation en mai 2023 de Mikhail Matveev, visé par une prime de 10 millions de dollars pour celui qui permettra son arrestation.

Utilisation d’un service cloud en Russie

Apparu en septembre 2019 sous le nom d’ABCD Ransomware, LockBit est devenu l’un des leaders de l’industrie du rançongiciel. Cette franchise mafieuse loue son infrastructure contre un pourcentage (20%) des rançons obtenues. Le gang est ainsi suspecté d’avoir mené environ 1800 attaques à travers le monde et obtenu au moins 90 millions de dollars de rançons.



Selon la justice américaine, les victimes de Ruslan Astamirov étaient basées aux Etats-Unis, au Japon, au Kenya et en France. L’aide des gendarmes du C3N, leader du groupe d’enquête européen sur ce gang, a d’ailleurs été saluée par les américains. Autant d’attaques qui ont abouti à la fuite de données d’au moins 24 000 documents et le paiement d’une juteuse rançon d’environ 700 000 dollars.



Pour les enquêteurs américains, “Ruslan95”, l’un des ses identifiants en ligne, utilisait un service de cloud en Russie pour ses attaques, vraisemblablement une façon de dissimuler sa véritable adresse IP. Toutefois, le FBI a déniché plusieurs comptes compromettants, des adresses de messagerie et des comptes de service, reliant ce service à distance au suspect.

Paris en ligne

Ainsi, à la suite d’une audition, menée le 13 mai 2023, les enquêteurs ont par exemple remarqué que l’informatique et le téléphone du jeune homme étaient configurés pour accéder à l’une des adresses de messagerie. Le suspect avait alors expliqué que cette adresse compromettante appartenait à son frère, tout en reconnaissant avoir acheté et utilisé des accès volés vendus en ligne.



Mais cette ligne de défense a été mise à mal par la découverte de la création d’un compte Instagram et d’un compte Amazon avec ce même e-mail. Le jeune homme a enfin été trahi par sa passion pour les paris en ligne, un message de confirmation de création d’un compte sur une plateforme de jeu ayant été envoyé à l’intention de “Ruslan Astamirov” à cette adresse.



Reste toutefois encore quelques zones d’ombres. On ignore si le suspect était simplement de passage ou s’il vivait dans l’Arizona. Et l’activité malveillante identifiée est de manière intrigante en pointillé, avec trois premières attaques groupées entre août et octobre 2020 puis deux autres en novembre 2021 et mars 2023.