Ransomware : extradition d’un membre de feu-Ryuk

C’est en avril qu’a été arrêté à Kiev, par les forces de l’ordre ukrainiennes, un individu qu’elles décrivent comme d’origine étrangère, à la demande des États-Unis. Il vient d’être extradé aux États-Unis.

Selon le procureur général, il s’agit d’un « membre d’un groupe criminel organisé impliqué dans la distribution du ransomware Ryuk ». Les membres de ce groupe auraient « conduit plus de 2 400 cyberattaques dans différents pays du monde ». Ils auraient réussi à collecter plus de 100 millions de dollars de rançons.

L’individu en question est âgé de 33 ans et était chargé de « chercher des vulnérabilités dans les réseaux des entreprises victimes. Les données obtenues par le pirate étaient utilisées par ces complices pour planifier et mener les cyberattaques ». Une sorte de courtier en accès initiaux, en somme.

Les autorités ukrainiennes suggèrent que cette arrestation a été notamment rendue possible par un coup de filet majeur réalisé en novembre 2023. Le leader d’un groupe impliqué dans des cyberattaques avec les rançongiciels LockerGoga, MegaCortex, Dharma et Hive avait alors été interpellé en Ukraine, aux côtés de 4 acolytes suspectés.

Début 2019, LockerGoga était utilisé contre le Français Altran. Quelque mois plus tard, il fera les gros titres avec le Norvégien Nork Hydro. Entre-temps, l’Agence nationale de la sécurité des systèmes d’information (Anssi) aura largement documenté LockerGoga et le groupe l’exploitant, faisant au passage un rapprochement avec Ryuk. Le groupe en question fut nommé Grim Spider par CrowdStrike et suivi sous la référence FIN6 par Mandiant. 

L’enseigne Conti a succédé à Ryuk avant d’imploser à l’occasion de l’invasion de l’Ukraine par la Russie, fin février 2022, après que des leaders de Conti aient ouvertement pris position en faveur de Moscou. De quoi donner naissance à plusieurs autres enseignes, dont l’aujourd’hui disparu Black Basta, ou le désormais très actif Akira.

Il y a un an, la police ukrainienne avait annoncé l’arrestation le développeur d’un outil de maquillage de logiciels malveillants, qui avait notamment été utilisé (moyennant finances) dans le cadre d’attaques impliquant l’enseigne LockBit et le groupe Conti.