« L’arrestation par les autorités de personnes associées à des incidents de ransomware très médiatisés envoie un message clair : il y aura bel et bien des conséquences à ces attaques. Les individus faisant l’objet de l’enquête semblent avoir été affiliés à plusieurs services de ransomware au fil du temps et/ou avoir rempli certaines missions de soutien pour permettre à plusieurs groupes d’agir.

Les groupes de malfaiteurs s’associent généralement à différents protagonistes au fil du temps pour mener à bien certaines tâches, telles que la recherche d’un premier accès ou le blanchiment d’argent, ce qui est probablement le cas d’au moins quelques-uns de ces suspects. La rupture d’un maillon de leur cycle organisationnel peut entraîner des perturbations importantes - bien que temporaires - pour ces groupes, car l’identification, le contrôle et la confiance dans de nouveaux partenaires peuvent s’avérer difficiles dans le monde criminel.

LockerGoga et Megacortex figuraient notamment parmi les premières variantes de ransomware utilisées lorsque la communauté des cybercriminels a commencé à s’éloigner des ransomwares distribués en masse et des opérations dans les points de vente pour se tourner vers le déploiement de ransomwares post-compromission ciblant les entreprises. Les variantes de ransomware prétendument associées à ces acteurs ont touché des organisations du secteur de la santé et d’autres secteurs critiques.

Certaines des méthodes décrites sont conformes aux activités attribuées à un acteur affilié à FIN6, notamment l’utilisation de Trickbot et de Lockergoga. Toutefois, compte tenu de la complexité et de l’interdépendance de l’écosystème de la cybercriminalité, nous ne pouvons pas confirmer pour l’instant si cette action des forces de l’ordre est associée à cet acteur de la menace ». - Kimberly Goody, Head of Cybercrime Analysis, Mandiant, Google Cloud