L'identité et le visage de Dmitri Khoroshev viennent d'être révélés par les Etats-Unis, le Royaume-Uni et l'Australie. Le groupe de hackers dont il est le chef, Lockbit 3.0, a revendiqué notamment la cyberattaque d'ampleur qui a fait de gros dégâts dans le système informatique de l'hôpital de Cannes.
Lockbit 3.0 est considéré comme le groupe de cybercriminels le plus puissant au monde.
La NCA, une agence britannique de lutte contre le crime organisé, a publié deux photos de Dmitri Khoroshev, 31 ans, identifié comme le patron du groupe de hackers.
A leader of what was once the world’s most harmful cyber crime group has been unmasked and sanctioned by the UK, US and Australia, following an NCA-led international disruption campaign.#Cronos @FBI @Europol
— National Crime Agency (NCA) (@NCA_UK) May 7, 2024
Full story ➡️ https://t.co/ECxlgOTH5E pic.twitter.com/iYz4w2jheK
Connu jusque-là sous les pseudonymes "LockBitSupp" ou "putinkrab", il proposait à quiconque mettrait fin à son anonymat une récompense de 10 millions de dollars.
C'est également la récompense promise par la justice américaine pour celui ou celle qui l'aidera à trouver le pirate informatique. Selon le département de la Justice américain, Dmitri Khoroshev serait le potentiel "créateur, développeur et administrateur" du groupe LockBit. Accusé notamment d'escroquerie en bande organisée et d'extorsion, il risque aux Etats-Unis jusqu'à 185 ans de prison.
D'après le gouvernement brittanique, les attaques que le groupe a mené depuis juin 2022 lui ont permis d'extorquer un milliard de dollars de rançon dans le monde.
Le ressortissant russe est "désormais soumis à une série de gels d'avoirs et d'interdictions de voyager", émis par le Royaume-Uni, les États-Unis et le Canada, a déclaré l'agence européenne de police Europol.
61 gigaoctets de données volées à l'hôpital de Cannes
Parmi les nombreuses cyberattaques que Lockbit a mené dans le monde, on lui en attribue au moins deux contre des hôpitaux français : l'hôpital de Corbeil-Essonnes en 2022, et l'hôpital Simone Veil à Cannes. L'attaque menée le 16 avril a été officiellement revendiquée le 30 avril par le groupe sur le darknet :
Cette revendication était assortie d'une demande de rançon dont le montant n'est pas publiquement connu.
Faute de paiement par l'hôpital (dans un communiqué, l'établissement avait précisé que "les établissements publics de santé ne paient jamais de rançon face à ce type d'attaque"), 61 gigaoctets de données ont été divulguées sur le darknet dans la nuit du 1ᵉʳ au 2 mai. Soit des milliers de données personnelles appartenant au personnel ou à des patients de l'hôpital : pièces d'identité, RIB, fiches de paie, numéro de Sécurité sociale ou encore compte-rendu d'intervention médicale.
Selon Pierre Penalba, commissaire honoraire de la PJ de Nice et expert en cybercriminalité, "pour une personne honnête, ces données ne servent à rien. Ce n'est pas la même chose pour des personnes mal intentionnées".
Pour certaines personnes mal intentionnées, c'est une mine d'or qui va permettre de faire toutes sortes d'escroqueries. La liste est longue et variée. On peut même imaginer un chantage. Imaginez, il peut y avoir des informations sur la maladie d'un chef d'entreprise qui ne veut pas que cela se sache…!
Pierre Penalba, expert en cybercriminalité
Au lendemain de la divulgation de ces données, l'hôpital Simon Veil assurait dans un communiqué : "Un retour dans les prochains jours, circonstancié et personnalisé, sera réalisé auprès des personnes et institutions concernées. Ce retour intégrera des conseils en cybersécurité à tenir dans ces circonstances."
La direction de l'hôpital a déposé plainte, L'enquête est en cours. Une alerte a également été envoyée à la CNIL et à l'ANSSI.
L'activité de l'hôpital avait été dans un premier temps très perturbée par le dysfonctionnement de son système informatique. Au lendemain du 16 avril, le programme des interventions non-urgentes avait été revu à la baisse. Dans son dernier communiqué, l'hôpital précise que "l'activité a repris son cours quasi ordinaire. Le rétablissement du fonctionnement normal de son système d'information se fait à un rythme soutenu conforme au plan d'actions défini dès le début de la crise".