L’opération en Roumanie
À la suite d’une enquête commune entre l’Allemagne, la France et la Roumanie, Europol a annoncé l’arrestation, en Roumanie, de deux personnes soupçonnées d’être des affiliés de Revil. Elles ont été appréhendées ce jeudi 4 novembre dans la ville côtière de Constanta et placées en détention provisoire par la police roumaine. Des enquêteurs français étaient présents sur le terrain. Ces deux personnes sont soupçonnées d’avoir attaqué cinq mille victimes et extorqué un demi-million de dollars (environ 430 000 euros).
Une arrestation supplémentaire en Pologne
Le ministère de la Justice americaine a annoncé l'arrestation et l'inculpation d'un membre présumé du groupe de pirates REvil, lié à des attaques par ransomware contre la société informatique Kaseya. Selon le DOJ, Yaroslav Vasinskyi, de nationalité ukrainienne, risque d'être extradé vers les États-Unis après avoir été arrêté par les autorités polonaises en octobre et inculpé par les États-Unis pour cybercriminalité en août, comme l'a révélé un document judiciaire. Cette arrestation, ainsi que la saisie par le gouvernement d'actifs liés aux opérations de REvil, constituent une nouvelle étape dans la lutte contre les ransomwares, qui constituent un problème croissant pour les entreprises.
Le DOJ indique également avoir saisi 6,1 millions de dollars d'actifs de la bourse de cryptomonnaies, prétendument liés au ransomware REvil. L'argent appartenait au ressortissant russe Yevgeniy Polyanin, qui a également été inculpé pour avoir prétendument travaillé avec REvil pour attaquer des cibles corporatives et gouvernementales. Polyanin a également été inculpé en août.
Les deux actes d'accusation détaillent le processus présumé de REvil consistant à s'introduire dans des réseaux informatiques, à en prendre le contrôle, puis à voler les données des entreprises, en bloquant les propriétaires légitimes en chiffrant les données et en supprimant les sauvegardes. Les entreprises pourraient toutefois retrouver l'accès aux données si elles payaient une rançon ; sinon, leurs données pourraient être vendues ou publiées sur le web. C'est ce qui est arrivé à Quanta, fournisseur d'Apple, dont les documents détaillant les nouveaux MacBooks d'Apple ont été publiés sur le blog de REvil bien avant la diffusion de toute information officielle.
Les actes d'accusation ne disent pas explicitement quels rôles Vasinskyi et Polyanin auraient joué dans les attaques, les accusant seulement d'avoir été impliqués et d'avoir travaillé avec d'autres membres de l'équipe pour mener à bien les attaques. Selon le ministère de la justice, Vasinskyi et Polyanin risquent chacun plus de 100 ans de prison s'ils sont reconnus coupables de tous les chefs d'accusation retenus contre eux. Le gouvernement américain est également prêt à dépenser beaucoup pour attraper d'autres membres présumés : il offre une récompense pouvant aller jusqu'à 10 millions de dollars pour toute information menant à l'arrestation des dirigeants de REvil et jusqu'à 5 millions de dollars pour toute information concernant des personnes essayant de travailler pour le groupe.
Les États-Unis offrent une récompense de 10 millions de dollars pour les responsables du ransomware REvil
Les États-Unis offrent jusqu'à 10 millions de dollars pour l'identification ou la localisation des responsables de l'opération de ransomware REvil (Sodinokibi), dont 5 millions de dollars menant à l'arrestation des affiliés. Cette prime est offerte dans le cadre du programme TOCRP (Transnational Organized Crime Rewards Program) du Département d'État, qui récompense les informateurs pour des informations permettant l'arrestation ou la condamnation d'individus appartenant à des groupes criminels organisés transnationaux. À l'instar de la récompense offerte pour des informations sur les membres du ransomware DarkSide, le montant récompensé pour des informations dépend du rôle de la personne dans l'opération Revil/Sodinokibi.
« Le Département d'État offre une récompense pouvant aller jusqu'à 10 millions $ pour toute information menant à l'identification ou à la localisation de tout individu occupant une position de leadership clé dans le groupe criminel organisé international de la variante du ransomware Sodinokibi… En outre, le Département offre une récompense pouvant aller jusqu'à 5 000 000 $ pour toute information menant à l'arrestation et/ou à la condamnation, dans n'importe quel pays, de tout individu conspirant pour participer ou tentant de participer à un incident de ransomware de la variante Sodinokibi », a annoncé hier le Département d'État americain.
Le gang de ransomware REvil est responsable de nombreuses attaques très médiatisées contre Kaseya, JBS, Coop, Travelex, GSMLaw, Kenneth Cole et Grupo Fleury. Lorsque les gangs de ransomware tentent d'échapper aux forces de l'ordre, ils changent souvent de marque et adoptent un nouveau nom. Par exemple, l'opération GandCrab s'est rebaptisée REvil en 2019 après avoir commencé à recevoir trop d'attention de la part des médias et des forces de l'ordre. De même, d'autres opérations de ransomware ont également changé de marque par le passé, notamment :
- DarkSide à BlackMatter
- Maze pour Egregor
- Bitpaymer à DoppelPaymer à Grief
- Nemty à Nefilim à Karma
Comme l'annonce du ministère de la Déclaration indique "ransomware variante Sodinokibi", cette récompense s'appliquera également aux nouveaux ransomwares créés par le gang REvil à l'avenir.
Les attaques par ransomware ayant touché des cibles importantes aux États-Unis ces dernières années, le gouvernement américain s'y intéresse de plus en plus. Le président Joe Biden a déclaré dans un communiqué que le gouvernement utilisait « toutes ses forces » pour « perturber les cyberactivités et les acteurs malveillants » et que les arrestations et les saisies financières s'inscrivaient dans le cadre de ses efforts pour « tenir pour responsables ceux qui menacent notre sécurité ». Le procureur américain par intérim, Chad E. Meacham, a déclaré que le ministère de la justice « s'enfoncera dans les coins les plus sombres de l'internet et les endroits les plus reculés du globe pour traquer les cybercriminels ».
Et pour perturber davantage les opérations financières des groupes de ransomware, les États-Unis ont également annoncé des sanctions contre la bourse de cryptomonnaies Chatex pour avoir aidé les gangs de ransomware à blanchir et à encaisser les paiements de rançon.
Sources : EUROPOL, DOJ, Département d'État des États-Unis, Département du Trésor des États-Unis
Et vous ?
Quel est votre avis sur le sujet ?
Voir aussi :
Le gang des ransomwares REvil disparaît du Web après l'avertissement de Joe Biden, ses sites Web ont été mis hors ligne mardi matin et personne ne sait exactement pourquoi
Le FBI a retenu une clé de déchiffrement de ransomware pendant 19 jours, pour lancer une opération ciblant les cybercriminels derrière REvil
Le gang REvil est à l'origine de l'attaque au rançongiciel contre le fournisseur de viande JBS, ces pirates utilisent des tactiques de haute pression pour extorquer leurs victimes