Ransomware : les autorités russes sifflent la fin de la récréation

La partie semble complètement terminée pour le gang REvil, connu pour de nombreuses cyberattaques impliquant le ransomware Sodinokibi.

Dans un communiqué de presse, le service fédéral de sécurité de la fédération de Russie (FSB), indique avoir « établi la pleine composition de l’association criminelle “REvil” et l’implication de ses membres dans la circulation illégale de moyens de paiement ». En outre, « la documentation d’activités illégales a été réalisée ».

Le FSB indique avoir répondu à l’appel des « autorités américaines compétentes », après que celles-ci ont pointé « le leader de l’association criminelle et son implication » dans des cyberattaques avec rançongiciel.

Des opérations coordonnées ont permis l’arrestation de 14 membres du gang et la saisie de fonds à 25 adresses résidentielles différentes. Au total, 426 millions de roubles (y compris en cryptopépettes), 600 000 dollars américains, 500 000 euros, des équipements informatiques, et 20 voitures de luxe ont été saisis.

Vidéo de l'intervention du FSB - REN TV - Janvier 2022

Pour mémoire, la présence en ligne, accessible directement ou via Tor, du groupe de cybermalfaiteurs était brutalement devenue inaccessible dans la journée du 13 juillet, avant de réapparaître début septembre. Ces allées-venues n’avaient pas manqué de soulever des questions. Et en tout premier lieu, la remise en ligne était-elle véritablement du fait du groupe REvil… ou l’indication d’une action des forces de l’ordre contre ses infrastructures (comme celles du ransomware Egregor ont pu en faire les frais, début février 2021) ? Une question d’autant plus légitime, depuis qu’il s’était avéré que les autorités américaines avaient mis la main sur la clé de déchiffrement associée à l’opération Kaseya : selon le Washington Post, il y a bien eu infiltration dans l’infrastructure de REvil. Et c’est elle qui a conduit à l’obtention de la clé de déchiffrement ayant permis de développer un outil de déchiffrement et d’aider les victimes de l’attaque menée plus tôt par rebond, contre un vaste nombre de clients de Kaseya.

Mi-octobre, un acteur lié à REvil, connu sous le pseudonyme 0_neday, a annoncé l’arrêt de ses activités. Il venait d’obtenir confirmation de ses craintes : un tiers non identifié disposait d’une copie de l’infrastructure du groupe, jusqu’aux clés privées des sites accessibles via Tor. Pire encore, comme relevé par Dmitry Smilyanets, de Recorded Future : selon le cybermalfaiteur, le serveur avait été compromis de sorte à le piéger personnellement.

Quelques semaines plus tard, début novembre, Europol annonçait avoir « débranché » cinq affidés de la franchise REvil/Sodinokibi, à la suite d’une intervention des forces de police roumaines : le 4 novembre, celles-ci ont donc « arrêté deux individus suspectés de cyberattaques avec déploiement du ransomware Sodinokibi/REvil ». Ils seraient responsables « de 5 000 infections qui, en tout, ont rapporté un demi-million d’euros en paiement de rançons ». En octobre, une personne soupçonnée d’être impliquée dans les activités de REvil avait en outre été identifiée par les autorités allemandes, qui avaient préparé un mandat d’arrêt.