IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Démantèlement de REvil : de nouveaux suspects du groupe de ransomware arrêtés en Pologne et Roumanie
Le gang est visé par une série d'opérations chapeautées par Europol, Eurojust et le DOJ

Le , par Nancy Rey

74PARTAGES

6  0 
L’étau des autorités se resserre autour du gang de cybercriminels Revil, en effet plusieurs personnes soupçonnées d’être des pirates gravitant autour de REvil ont été arrêtées ces derniers mois. Eurojust et Europol, les agences européennes de coopération judiciaire et de police criminelle, révèlent ce 8 novembre 2021 qu’une opération internationale impliquant la France a permis quatre interventions en Roumanie et l’interpellation de deux suspects. Les Etats-Unis ont également annoncé, l’arrestation, en Pologne, d’un Ukrainien de 22 ans, Yaroslav Vasinsky. Les autorités américaines l’accusent notamment d’être l’« affilié » de REvil responsable de l’attaque contre Kaseya, en juillet. Le DOJ dit avoir saisi 6 millions de dollars d'une bourse de cryptomonnaies ( l’équivalent de plus de 5 millions d’euros) qui seraient liée au groupe.


L’opération en Roumanie


À la suite d’une enquête commune entre l’Allemagne, la France et la Roumanie, Europol a annoncé l’arrestation, en Roumanie, de deux personnes soupçonnées d’être des affiliés de Revil. Elles ont été appréhendées ce jeudi 4 novembre dans la ville côtière de Constanta et placées en détention provisoire par la police roumaine. Des enquêteurs français étaient présents sur le terrain. Ces deux personnes sont soupçonnées d’avoir attaqué cinq mille victimes et extorqué un demi-million de dollars (environ 430 000 euros).

Une arrestation supplémentaire en Pologne

Le ministère de la Justice americaine a annoncé l'arrestation et l'inculpation d'un membre présumé du groupe de pirates REvil, lié à des attaques par ransomware contre la société informatique Kaseya. Selon le DOJ, Yaroslav Vasinskyi, de nationalité ukrainienne, risque d'être extradé vers les États-Unis après avoir été arrêté par les autorités polonaises en octobre et inculpé par les États-Unis pour cybercriminalité en août, comme l'a révélé un document judiciaire. Cette arrestation, ainsi que la saisie par le gouvernement d'actifs liés aux opérations de REvil, constituent une nouvelle étape dans la lutte contre les ransomwares, qui constituent un problème croissant pour les entreprises.

Le DOJ indique également avoir saisi 6,1 millions de dollars d'actifs de la bourse de cryptomonnaies, prétendument liés au ransomware REvil. L'argent appartenait au ressortissant russe Yevgeniy Polyanin, qui a également été inculpé pour avoir prétendument travaillé avec REvil pour attaquer des cibles corporatives et gouvernementales. Polyanin a également été inculpé en août.

Les deux actes d'accusation détaillent le processus présumé de REvil consistant à s'introduire dans des réseaux informatiques, à en prendre le contrôle, puis à voler les données des entreprises, en bloquant les propriétaires légitimes en chiffrant les données et en supprimant les sauvegardes. Les entreprises pourraient toutefois retrouver l'accès aux données si elles payaient une rançon ; sinon, leurs données pourraient être vendues ou publiées sur le web. C'est ce qui est arrivé à Quanta, fournisseur d'Apple, dont les documents détaillant les nouveaux MacBooks d'Apple ont été publiés sur le blog de REvil bien avant la diffusion de toute information officielle.

Les actes d'accusation ne disent pas explicitement quels rôles Vasinskyi et Polyanin auraient joué dans les attaques, les accusant seulement d'avoir été impliqués et d'avoir travaillé avec d'autres membres de l'équipe pour mener à bien les attaques. Selon le ministère de la justice, Vasinskyi et Polyanin risquent chacun plus de 100 ans de prison s'ils sont reconnus coupables de tous les chefs d'accusation retenus contre eux. Le gouvernement américain est également prêt à dépenser beaucoup pour attraper d'autres membres présumés : il offre une récompense pouvant aller jusqu'à 10 millions de dollars pour toute information menant à l'arrestation des dirigeants de REvil et jusqu'à 5 millions de dollars pour toute information concernant des personnes essayant de travailler pour le groupe.

Les États-Unis offrent une récompense de 10 millions de dollars pour les responsables du ransomware REvil

Les États-Unis offrent jusqu'à 10 millions de dollars pour l'identification ou la localisation des responsables de l'opération de ransomware REvil (Sodinokibi), dont 5 millions de dollars menant à l'arrestation des affiliés. Cette prime est offerte dans le cadre du programme TOCRP (Transnational Organized Crime Rewards Program) du Département d'État, qui récompense les informateurs pour des informations permettant l'arrestation ou la condamnation d'individus appartenant à des groupes criminels organisés transnationaux. À l'instar de la récompense offerte pour des informations sur les membres du ransomware DarkSide, le montant récompensé pour des informations dépend du rôle de la personne dans l'opération Revil/Sodinokibi.

« Le Département d'État offre une récompense pouvant aller jusqu'à 10 millions $ pour toute information menant à l'identification ou à la localisation de tout individu occupant une position de leadership clé dans le groupe criminel organisé international de la variante du ransomware Sodinokibi… En outre, le Département offre une récompense pouvant aller jusqu'à 5 000 000 $ pour toute information menant à l'arrestation et/ou à la condamnation, dans n'importe quel pays, de tout individu conspirant pour participer ou tentant de participer à un incident de ransomware de la variante Sodinokibi », a annoncé hier le Département d'État americain.

Le gang de ransomware REvil est responsable de nombreuses attaques très médiatisées contre Kaseya, JBS, Coop, Travelex, GSMLaw, Kenneth Cole et Grupo Fleury. Lorsque les gangs de ransomware tentent d'échapper aux forces de l'ordre, ils changent souvent de marque et adoptent un nouveau nom. Par exemple, l'opération GandCrab s'est rebaptisée REvil en 2019 après avoir commencé à recevoir trop d'attention de la part des médias et des forces de l'ordre. De même, d'autres opérations de ransomware ont également changé de marque par le passé, notamment :
  • DarkSide à BlackMatter
  • Maze pour Egregor
  • Bitpaymer à DoppelPaymer à Grief
  • Nemty à Nefilim à Karma

Comme l'annonce du ministère de la Déclaration indique "ransomware variante Sodinokibi", cette récompense s'appliquera également aux nouveaux ransomwares créés par le gang REvil à l'avenir.

Les attaques par ransomware ayant touché des cibles importantes aux États-Unis ces dernières années, le gouvernement américain s'y intéresse de plus en plus. Le président Joe Biden a déclaré dans un communiqué que le gouvernement utilisait « toutes ses forces » pour « perturber les cyberactivités et les acteurs malveillants » et que les arrestations et les saisies financières s'inscrivaient dans le cadre de ses efforts pour « tenir pour responsables ceux qui menacent notre sécurité ». Le procureur américain par intérim, Chad E. Meacham, a déclaré que le ministère de la justice « s'enfoncera dans les coins les plus sombres de l'internet et les endroits les plus reculés du globe pour traquer les cybercriminels ».

Et pour perturber davantage les opérations financières des groupes de ransomware, les États-Unis ont également annoncé des sanctions contre la bourse de cryptomonnaies Chatex pour avoir aidé les gangs de ransomware à blanchir et à encaisser les paiements de rançon.

Sources : EUROPOL, DOJ, Département d'État des États-Unis, Département du Trésor des États-Unis

Et vous ?

Quel est votre avis sur le sujet ?

Voir aussi :

Le gang des ransomwares REvil disparaît du Web après l'avertissement de Joe Biden, ses sites Web ont été mis hors ligne mardi matin et personne ne sait exactement pourquoi

Le FBI a retenu une clé de déchiffrement de ransomware pendant 19 jours, pour lancer une opération ciblant les cybercriminels derrière REvil

Le gang REvil est à l'origine de l'attaque au rançongiciel contre le fournisseur de viande JBS, ces pirates utilisent des tactiques de haute pression pour extorquer leurs victimes

Une erreur dans cette actualité ? Signalez-le nous !