Cybercriminalité : qu’attendre du conflit qui s’annonce en Ukraine ?

Silence radio. Selon nos sources, que ce soit sur les forums plus ou moins accessibles à tous ou dans les salons plus privés, les tensions entre la Russie, l’Ukraine, et plus généralement l’Occident, n’alimentent guère de discussions, à la surprise même des observateurs les plus attentifs. Les tensions entre franchises de ransomware génèrent bien plus d’échanges, de même que les suspicions autour d’acteurs individuels.

Pour mémoire, fin janvier, les opérateurs de la franchise LockBit 2.0 ont lâché une petite bombe sur un forum fréquenté par des cybermalfaiteurs, montrant, captures d’écran à l’appui, comment l’opérateur d’un autre de ces forums, RAMP, pouvait jouer double-jeu : caché derrière le pseudonyme Kajit, il semble avoir donné accès aux chasseurs de maliciels de VX Underground à l’interface d’administration de feu le ransomware BlackMatter – successeur de DarkSide et prédécesseur d’Alphv/BlackCat, pour mémoire. Kajit est aujourd’hui soupçonné d’être lié aux forces de l’ordre.

Azim Khodjibaev, chercheur au sein des équipes Talos de Cisco, estimait alors qu’une « guerre civile majeure est en cours » dans ce petit monde. Et les épisodes confortant son analyse continuent de survenir. Tout début février, un groupe se baptisant « Ophelias Secrets » est apparu, promettant des « solutions » pour les cybermalfaiteurs se sentant trahis par d’autres et pas assez soutenus dans leurs complaintes.

Pendant ce temps-là, les opérateurs et affidés de la franchise LockBit 2.0 continuent de revendiquer victime après victime, tandis que Alphv/Black Cat et Hive semblent toujours aussi actifs. Les opérateurs de Cl0p viennent quant à eux de revendiquer plusieurs nouvelles victimes. Et deux nouvelles franchises de ransomware en mode service ont récemment fait leur apparition.

Selon plusieurs observateurs, l’une des difficultés tient à l’identification du pays à partir duquel opèrent les cyberdélinquants. Dans leurs organisations largement décentralisées, certains russophones peuvent être basés en Ukraine, mais pourraient tout autant opérer d’ailleurs, notamment de Russie. Certains acteurs impliqués pourraient en outre avoir fait leurs valises et passé une frontière.

Selon l’une de nos sources, les principaux acteurs russophones tendent d’ailleurs plutôt à s’avérer fortement nationalistes. Un groupe nous a été souligné comme affichant ouvertement, de longue date, son avis selon lequel l’Ukraine n’a tout simplement aucune existence légitime.

Mais quid de l’impact des tensions géopolitiques sur les capacités de coopération internationale dans la lutte contre la cybercriminalité ? L’an dernier, les forces de l’ordre ukrainiennes ont fortement contribué à celle-ci. Mi-janvier encore, elles ont arrêté plusieurs membres présumés d’un gang de rançonneurs accusés d’avoir frappé plus de 50 entreprises en Europe et aux États-Unis.

À ce jour, la cyberpolice ukrainienne continue d’être active. Son dernier communiqué de presse date du 22 février 2022. Mais la question est de savoir pour combien de temps, et si des mouvements migratoires de cybermalfaiteurs ne vont pas entraver son action. Côté occidental, des deux versants de l’Atlantique, selon nos sources, les forces de l’ordre semblent clairement dans une position d’attente.