Un homme a été arrêté par les cyberpoliciers bordelais pour blanchiment d’argent provenant de rançons payées suite à des attaques de ransomwares du groupe de hackers « Hive ». Malgré sa prudence sur le darknet, l’homme s’est involontairement trahi en publiant ses performances sportives sur les réseaux sociaux, notamment sa participation au dernier marathon de Valence en Espagne. Agé de 43 ans, cet individu russe a été interpellé à Paris le 5 décembre 2023 grâce aux efforts des enquêteurs et des ingénieurs de l’Office anti-cybercriminalité (Ofac) et de son antenne bordelaise.
Il est soupçonné d’avoir blanchi l’argent des rançons au profit du groupe organisé « Hive », qui est très actif dans le domaine des ransomwares. Leur mode opératoire consiste à attaquer les réseaux informatiques des entreprises, à les paralyser en chiffrant leurs fichiers à l’aide d’un logiciel malveillant, puis à demander une rançon. Parfois, ils menacent également de divulguer des données exfiltrées en cas de non-paiement. Le commissaire divisionnaire Paul Bousquet, basé à Bordeaux et travaillant au service interdépartemental de police judiciaire, décrit cette méthode utilisée par le groupe « Hive ».
Au total, 1 500 victimes ont été signalées dans le monde, dont 59 en France. La première entreprise française visée était un laboratoire pharmaceutique des Deux-Sèvres. C’est cette première affaire qui a placé les cyberpoliciers bordelais au centre de l’enquête. En janvier 2023, une coopération internationale menée par Europol a réussi à perturber l’organisation aux Etats-Unis. Le FBI a réussi à infiltrer les infrastructures de « Hive » et à saisir plusieurs serveurs, dont le principal, ce qui a permis de mettre hors ligne les sites du groupe sur le darknet. Il restait cependant à identifier les membres de ce réseau d’attaque aux ransomwares.
Des investigations ont donc été menées pour retracer l’activité d’un suspect. Des transactions suspectes d’un montant équivalent à plusieurs millions de dollars américains ont été retrouvées dans ses portefeuilles numériques, appelés « wallets », dont plus de 3 millions de dollars liés aux paiements en cryptoactifs des victimes. Le Russe, très actif sur les réseaux sociaux, a été repéré et localisé à Paris après sa participation au marathon de Valence. Après son arrestation, il a été placé en garde à vue puis présenté au parquet spécialisé du tribunal judiciaire de Paris. Il a été mis en examen pour blanchiment aggravé, extorsion en bande organisée, accès frauduleux à un système automatisé de données et association de malfaiteurs, avant d’être placé en détention provisoire.
Pendant sa garde à vue, une coopération parfaite a été établie avec Europol, Eurojust et les autorités chypriotes, ce qui a permis de perquisitionner son domicile dans une station balnéaire chypriote. Au total, 570 000 euros en cryptomonnaie ont été récupérés grâce à l’exploitation de son téléphone portable.
L’Office anti-cybercriminalité (Ofac) a été créé le 1er décembre dernier, avec pour objectif de centraliser le traitement des rançongiciels. Cet organisme, qui joue un rôle de point de contact international et dispose d’un fort maillage territorial, travaille en collaboration avec un parquet spécialisé. Cette affaire représente le premier succès notable de l’Ofac.