L’étau des autorités se resserre autour de REvil, un gang de cybercriminels à l’origine d’une des souches de rançongiciels les plus virulentes.
Les Etats-Unis ont annoncé, lundi 8 novembre, l’arrestation, en Pologne, d’un Ukrainien de 22 ans, Yaroslav Vasinsky. Les autorités américaines l’accusent notamment d’être l’« affilié » de REvil responsable de l’attaque contre Kaseya, en juillet. En s’en prenant à cette société américaine spécialisée dans les services numériques, le ou les pirates étaient parvenus à infecter un grand nombre de ses clients, une attaque qui avait marqué les esprits par son ampleur et sa sophistication, là où celles par rançongiciels concernent généralement une entreprise à la fois.
M. Vasinsky a été arrêté le 8 octobre alors qu’il se rendait en Pologne depuis l’Ukraine, a précisé Merrick Garland, le procureur général américain, l’équivalent du ministre de la justice, lors d’une conférence de presse.
Les rançongiciels sont des logiciels malveillants qui paralysent un système informatique et exigent une rançon pour le déverrouiller. Les « affiliés » sont un maillon essentiel d’une attaque par rançongiciel : ils sont chargés de faire pénétrer le rançongiciel développé par le gang dans le réseau informatique des victimes. Les auteurs du logiciel malveillant prennent ensuite généralement le relais pour extorquer les victimes. Les sommes extorquées sont ensuite partagées entre les développeurs et leurs affiliés.
Deux arrestations supplémentaires en Roumanie
Un peu plus tôt dans la journée, Europol avait déjà annoncé l’arrestation, en Roumanie, de deux autres personnes soupçonnées d’être des affiliés de REvil. Elles ont été appréhendées jeudi 4 novembre dans la ville côtière de Constanta et placées en détention provisoire par la police roumaine, à la suite d’une enquête commune entre l’Allemagne, la France et la Roumanie, a annoncé cette dernière. Des enquêteurs français étaient présents sur le terrain. Ces deux personnes sont soupçonnées d’avoir attaqué cinq mille victimes et extorqué un demi-million de dollars (environ 430 000 euros).
Europol a, par ailleurs, précisé que deux affiliés de GandCrab avaient été arrêtés, dont l’un par la police koweïtienne. GandCrab est un gang à l’origine d’une autre souche très active de rançongiciel qui a affirmé s’être dissous en mai 2019 mais dont la plupart des experts estiment qu’il s’agit des mêmes individus que les responsables de REvil. Europol a aussi annoncé que plusieurs pirates présumés avaient été arrêtés par les autorités sud-coréennes, sans préciser s’ils étaient soupçonnés d’avoir collaboré avec GandCrab ou REvil. Au total, cela porte à sept le nombre de cybercriminels ayant pris part à des attaques par les rançongiciels REvil et GandCrab et appréhendés ces derniers mois.
Les autorités américaines ont aussi frappé REvil au porte-monnaie puisqu’elles ont aussi annoncé avoir saisi plus de 6 millions de dollars en cryptomonnaies extorqués par un affilié, qu’elles pensent être un ressortissant russe de 28 ans, Evgueni Polyanin. Ce dernier est encore en liberté, mais il a été mis en examen par la justice américaine. Les affiliés de REvil sont accusés d’avoir extorqué, au total, plus de 200 millions de dollars. Le département du Trésor a également sanctionné Chatex, une Bourse d’échange de cryptomonnaies, et trois entreprises associées. Les autorités américaines les accusent d’avoir fourni aux cybercriminels les moyens de blanchir les fonds extorqués à leurs victimes.
L’étau se resserre autour de REvil
Ces arrestations et ces saisies de fonds sont les fruits des efforts considérables déployés ces derniers mois par plusieurs pays, dont les Etats-Unis et la France, pour déjouer l’industrie criminelle des rançongiciels, qui a causé des dégâts incommensurables dans le monde entier. REvil faisait figure de cible numéro un : aux Etats-Unis, les autorités ont été particulièrement échaudées par deux attaques de ce groupe : outre Kaseya, le fonctionnement de l’entreprise de l’agroalimentaire JBS avait été gravement perturbé par les pirates en juin.
Les opérations visant ce groupe se sont multipliées ces derniers mois. Plusieurs médias allemands ont révélé récemment que des enquêteurs d’outre-Rhin étaient parvenus à identifier l’un des cerveaux de REvil. Cet individu, dont l’identité est connue des journalistes mais dont le nom n’a pas été publiquement révélé, n’est pas l’un des deux pirates présumés dont la mise en examen a été révélée lundi par les Etats-Unis.
Selon plusieurs médias américains, la police fédérale (FBI) et le commandement cyber de l’armée américaine ont réussi, au cours de l’été, à pénétrer une partie de l’infrastructure utilisée par REvil, perturbant de manière importante l’activité des pirates et leur permettant d’obtenir de précieuses informations. Selon le Washington Post, les forces de l’ordre américaines, une fois sur place, ont découvert qu’un pays étranger avait déjà réussi à pirater REvil. Il est possible que ce pays étranger soit européen. En effet, Europol a révélé l’existence de GoldDust, une opération commune à plusieurs Etats du continent, qui enquêtent depuis deux ans sur REvil et dont les investigations ont débouché, notamment, sur l’arrestation des deux ressortissants roumains.
Mise à jour du 13/01/2021 à 11 h 45 : correction du nombre d’arrestations réalisées par la police roumaine.
Contribuer
Réutiliser ce contenu
