Le groupe de pirates informatiques LockBit a revendiqué la cyberattaque de l'hôpital de Cannes (Alpes-Maritimes), le 16 avril dernier.En l'absence de rançon, il a mis ses menaces à exécution et diffusé jeudi des milliers de données collectées sur les patients de l'établissement.Focus sur ce collectif criminel, pourtant démantelé en février dernier et considéré comme l'un des plus nuisibles au monde.
Les services secrets britanniques pensaient pourtant lui avoir porté un coup fatal. Le groupe de hackeurs LockBit, l'un des plus importants au monde, semble être réapparu ces dernières semaines. Officiellement démantelé en février dernier, ce collectif de pirates informatiques, considéré comme l'un des plus "nuisibles" au monde, a revendiqué la cyberattaque de l'hôpital de Cannes (Alpes-Maritimes), le 16 avril dernier. Il demandait une rançon avant ce jeudi 2 mai à minuit, au risque, dans le cas inverse, de diffuser des données sensibles sur les patients de l'hôpital.
Une menace finalement mise à exécution ce jeudi : selon plusieurs spécialistes, 61 gigaoctets d'informations privées sur les patients ou sur l'hôpital ont été diffusées en ligne. Ce qui pourrait ne constituer qu'un échantillon de la totalité des données collectées, souvent revendues dans ce type de cas par la suite sur le darkweb. Qui se cache derrière ce mystérieux groupe ? Quelles sont ses méthodes ? TF1info fait le point.
Des attaques aux rançongiciels
Le groupe LockBit a été repéré en 2020 par différents systèmes de renseignement. Ces hackeurs, majoritairement russophones, ont agi pendant plusieurs années via l'utilisation de rançongiciels. Le principe est d'attaquer les serveurs d'hôpitaux, de petites entreprises ou encore de grands groupes privés pour en soutirer des données sensibles, grâce à un logiciel malveillant. Les pirates demandent ensuite à leurs victimes de s'acquitter d'une rançon. Dans le cas inverse, ils s'engagent à publier puis à revendre les renseignements dérobés.
Particularité de ces pirates : leur organisation. Contrairement à d'autres réseaux, LockBit permet à d'autres hackeurs indépendants mais qui lui sont affiliés, d'utiliser son propre logiciel malveillant pour mener des attaques. En cas de réussite de l'opération, le groupe récupère alors une partie de la rançon perçue. "LockBit fonctionne comme une entreprise, analysait ainsi il y a quelques semaines, auprès de l'AFP, Brett Callow, analyste des menaces chez Emsisoft, une entreprise de sécurité. Ils savent – ou du moins savaient – mener leur barque, ce qui leur a permis de se maintenir à flot face à d'autres opérations du même type."
Une opération XXL pour le démanteler
Depuis sa création, la force de frappe des hackeurs de LockBit s'est améliorée au fil des mois. Les États-Unis ont ainsi recensé plus de 1700 attaques du groupe depuis 2020. Plus de 91 millions de dollars de rançons lui avaient par ailleurs été versés à l'été 2023. Une activité lucrative qui a alerté les autorités du monde entier. En février dernier, l'Agence de lutte contre la criminalité britannique (NCA) a mené une opération pour démanteler le groupe, avec le concours d'une dizaine d'autres pays. Avec succès, selon son directeur général, Graeme Biggar. "Nous avons hacké les hackeurs", s'était-il alors félicité. Avant de prévenir, tout de même : "Notre travail ne s'arrête pas ici. LockBit pourrait essayer de reconstruire son entreprise criminelle."
Le retour de Lockbit derrière cette nouvelle attaque de l'hôpital de Cannes, comme revendiqué sur ses canaux de communication, marquerait-il sa réémergence ? L'objectif serait de montrer que ces hackers "ne se sont pas fait ridiculiser" après leur démantèlement, indique Clément Domingo, "hackeur éthique" et spécialiste en cybersécurité, interrogé par Monaco-Matin mardi. "Ils veulent regagner la confiance de leurs affiliés, poursuit l'expert. Sans eux, ils ne sont rien."
L'an dernier, le groupe avait déjà attaqué les hôpitaux de Corbeil-Essonnes (Essonne) et Versailles (Yvelines), en région parisienne.