Ransomware : qu’attendre de l’intervention russe contre REvil ?

Ce vendredi 14 janvier, les autorités russes sont finalement passées à l’action contre un gang de cybermalfaiteurs, en interpellant, assurent-ils, tous les membres du groupe REvil. Mais pour beaucoup, tant les observateurs du monde de la cybersécurité que les cyberdélinquants, il s’agit là moins d’un réel virage que d’une opération de communication politique destinée à Washington.

Dans un forum dédié au renseignement sur les menaces, un expert anonyme du domaine est catégorique : « c’est un coup de communication contre un groupe mort ». Pour mémoire, mi-octobre, un acteur clé lié à REvil avait annoncé mettre fin à ses activités, de crainte notamment d’être personnellement traqué par les autorités. L’un des principaux affidés de la franchise pourrait même avoir rejoint les rangs de LockBit 2.0.

L’écosystème de la cyberdélinquance semble porter le même regard sur l’opération revendiquée par les autorités russes. Ainsi, Yelisey Boguslavskiy, directeur de recherche chez AdvIntel, relève que, « globalement, les criminels concluent que ces arrestations constituent une opération de publicité visant à faire la démonstration formelle de l’intention politique de la Russie de coopérer avec l’Occident, pour combattre les ransomwares ». Mais cela uniquement « en visant des membres de bas niveau d’un groupe déjà défunt ».

L’analyste souligne en particulier le contexte géopolitique dans lequel sont survenues ces arrestations. La Russie a en effet récemment échangé avec les États-Unis et l’OTAN sur l’Ukraine. Washington a d’ailleurs accusé publiquement le Kremlin de créer un prétexte à une invasion du pays.

L’administration Biden semble avoir entendu le message russe tout en essayant de ne pas le montrer ouvertement : un membre haut placé de l’administration a ainsi affirmé que l’une des personnes interpellées vendredi 14 janvier avait été impliquée dans la cyberattaque conduite, au printemps 2021 contre Colonial Pipeline. Mais selon cette source qui a souhaité rester anonyme, ces toutes récentes arrestations « n’ont rien à voir avec ce qui se passe entre la Russie et l’Ukraine ».  

Colonial Pipeline avait été attaqué avec le ransomware DarkSide. De quoi laisser à penser qu’au moins l’une des personnes interpellées ce vendredi 14 janvier n’était qu’un affidé et non pas l’un des opérateurs de la franchise REvil. Huit personnes interpellées sont détenues et ont été nommées, selon l’agence Interfax. Cette dernière rapporte en outre que le FSB s’intéressait à certains des prévenus depuis 2017.

Yelisey Boguslavskiy souligne que l’écosystème du ransomware n’apparaît guère surpris, évoquant une pression appliquée graduellement par les autorités russes depuis le printemps 2021 : il faudrait y voir la raison pour laquelle le groupe Avaddon a rendu les clés. Accessoirement, ce groupe avait par erreur attaqué des cibles relevant du périmètre géographique interdit aux ransomwares. Mais les franchises DarkSide et Conti se seraient également fait l’écho de telles pressions.

Le PDG d’AdvIntel, Vitali Kremez, relève pour sa part que les prévenus sont inculpés pour des faits de blanchiment d’argent. Ce qui pourrait tendre à conforter l’hypothèse d’arrestations ayant épargné le cœur de la franchise REvil. Mais cela souligne également la manière dont la Russie utilise sa législation sur les cryptodevises pour renforcer son contrôle sur l’écosystème local du ransomware.