Oleksandr - stock.adobe.com
L'ombre de REvil : traque internationale des architectes d'une cybermenace systémique
Les autorités allemandes identifient les leaders de GandCrab/REvil et émettent des mandats internationaux, révélant l'ampleur d'un préjudice dépassant 35 millions d'euros.
Le parquet de Karlsruhe et l'office régional de police judiciaire du Baden-Württemberg ont officiellement identifié deux figures centrales associées aux gangs de ransomware GandCrab et REvil.
Anatoly Sergeevitsch Kravchuk, né le 13 juin 1982 en Ukraine, est suspecté d'avoir exercé un rôle de direction opérationnelle majeure entre début 2019 et juillet 2021. Ses fonctions auraient consisté à coordonner les campagnes d'attaques, à recruter des affiliés et à superviser la gestion des flux financiers. Parallèlement, Daniil Maksimovich Shchukin, né le 5 octobre 1994 en Russie, est désigné comme l'architecte technique principal. Il est accusé du développement et de la maintenance des outils de chiffrement ainsi que des infrastructures de gestion hébergées sur le dark web.
Selon le parquet de Karlsruhe, « il est établi que les deux suspects sont responsables de l'attaque de 2019 contre les théâtres d'État de Stuttgart » et de la gestion du programme de « Ransomware-as-a-Service » (RaaS). Ces accusations s'accompagnent de mandats d'arrêt émis aux niveaux national et européen. Les autorités ont classé les deux suspects sur la liste « EU Most Wanted », soulignant l'urgence de leur capture compte tenu de la portée internationale de leurs actions. Cette identification résulte d'une « analyse transnationale de transactions cryptographiques et d'une collaboration européenne » approfondie. Les autorités suspectent leur présence en Russie, bien que leur localisation exacte reste incertaine.
Le modèle RaaS et son impact économique
L'organisation des groupes GandCrab et REvil illustre un modèle de criminalité hautement structuré, reposant sur un modèle dit de RaaS qui a permis une scalabilité exceptionnelle des attaques. Les instigateurs fournissaient aux affiliés des logiciels de chiffrement et des outils de vol de données en échange d'une répartition des gains. Les données d'enquête établies par les services allemands révèlent que 130 affaires de chantage en bande ont été constatées, conduisant à 25 paiements de rançons établis. Le montant total versé s'élève à 1,9 million d'euros.
Cependant, le préjudice économique global dépasse largement ces sommes. Les autorités allemandes ont établi que « le préjudice économique global dépasse les 35,4 millions d'euros ». Ce chiffre intègre non seulement les rançons, mais aussi les coûts liés à l'arrêt d'activité, à la reconstruction des systèmes et aux pertes d'exploitation.
La stratégie de « double extorsion » a été systématiquement utilisée : « des données ont été spoliées et la menace de leur publication a été faite en cas de non-paiement ». Ce modèle a été appliqué avec une efficacité redoutable contre des cibles variées, allant des PME aux grandes institutions publiques, comme en témoigne l'incidence sur les théâtres nationaux du Wurtemberg.
Évolution tactique et attaques par la chaîne d'approvisionnement
Dès 2019, l'analyse forensique suggérait une continuité opérationnelle entre GandCrab et REvil (Sodinokibi), bien que les tactiques d'infection aient évolué pour accroître la surface d'attaque. Initialement, le groupe exploitait des vulnérabilités non corrigées sur des déploiements Oracle WebLogic. Cependant, les vecteurs de propagation se sont élargis pour inclure l'exploitation de services d'administration à distance (RDP).
Mais une évolution majeure s'est produite avec l'attaque contre Kaseya VSA en juillet 2021. L'exploitation de la vulnérabilité CVE-2021-30116 a permis aux attaquants de compromettre des prestataires de services managés (PSM), dont plus de 30 aux États-Unis et en Europe, et d'atteindre simultanément des milliers de machines.
Une demande de rançon initiale de 45 000 dollars par machine avait alors été formulée, totalisant une exigence de paiement d'environ 70 millions de dollars pour l'ensemble des hôtes compromis. Cette méthode de rebond avait permis aux attaquants de frapper avec une rapidité et une ampleur inédites, surpassant les capacités de réponse traditionnelle des équipes de sécurité internes.
L'intervention russe
Les arrestations opérées par les autorités russes contre des membres du groupe REvil en janvier 2024 avaient suscité des analyses nuancées concernant leur impact réel sur la menace. Les experts de la sécurité et l'écosystème du cybercrime considéraient majoritairement cette action comme une opération de communication politique, motivée par les tensions géopolitiques, notamment la situation en Ukraine. Selon l'analyste Yelisey Boguslavskiy, alors chez AdvIntel, « les interpellations visent principalement des membres de bas niveau ou des affiliés déjà inactifs, laissant l'infrastructure de commandement et le noyau dur du groupe intact ».
Les inculpations portaient en outre sur le blanchiment d'argent plutôt que sur l'extorsion directe, ce qui tendait à confortait l'hypothèse d'un contrôle étatique sur l'écosystème local sans intention de démanteler totalement la franchise. L'implication de certains arrêtés dans des affaires antérieures, comme l'attaque contre Colonial Pipeline, suggérait qu'il s'agissait bien d'acteurs de second plan.
Pour approfondir sur Cyberdélinquance
-
![]()
Qu'est-ce qu'un ransomware ? Définition et guide complet
Par: Alissa Irei
-
![]()
Ransomware : RansomHub terre d’accueil des déçus de LockBit 3.0 et Alphv ?
Par: Valéry Rieß-Marchive
-
![]()
Snatch : entre recycleur et lessiveuse de données volées
Par: Valéry Rieß-Marchive
-
![]()
Après une opération de police, Alphv/BlackCat s'attaque aux hôpitaux
Par: Alexander Culafi
