Le service de renseignement intérieur russe (FSB) a déclaré avoir démantelé le groupe de cybercriminalité REvil. Le FSB a fait savoir vendredi qu’il avait répondu à une demande des autorités américaines compétentes. REvil comptait récemment parmi les diffuseurs les plus agressifs de chevaux de Troie d’extorsion, les membres du groupe ayant été identifiés grâce à leur trafic de paiement. Les activités illégales ont été documentées, écrit le FSB. Les autorités de poursuite pénale ont maintenant perquisitionné des locaux à 25 adresses et arrêté 14 personnes. Des fonds d’une valeur équivalente à 5 millions d’euros ont été saisis, dont de l’argent liquide dans différentes devises et de la crypto-monnaie, ainsi que « 20 voitures de luxe ».

Ransomware en tant que service

Depuis son implication dans l’attaque dévastatrice de Kaseya l’été dernier, REvil fait l’objet d’une attention toute particulière. Le groupe a diffusé son cheval de Troie de chantage dans le cadre d’un modèle commercial que l’on peut décrire comme un ransomware-as-a-service : il a loué ou cédé sous licence à d’autres criminels, appelés affiliés ou partenaires, le maliciel qu’il avait lui-même développé ainsi que l’infrastructure de décryptage et de paiement correspondante. Dans le cas de REvil, les responsables touchaient 30 % des recettes des partenaires. Après l’attaque de Kasyea, le groupe s’est apparemment livré à un jeu du chat et de la souris avec les forces de l’ordre du monde entier. Entre-temps, le groupe aurait été lui-même piraté et aurait par la suite disparu du réseau. Les autorités allemandes avaient identifié un responsable présumé de REvil et préparé un mandat d’arrêt.

Que se passe-t-il exactement ? sur les arrestations et le prétendu démantèlement de REvil ne sont pas encore connus. Jusqu’à présent, la Russie n’était pas connue pour répondre à de telles demandes, notamment de la part des États-Unis. Ce n’est qu’en septembre qu’une société de cybersécurité américaine a expliqué que les services secrets et les autorités de poursuite pénale du Kremlin avaient au moins suffisamment d’influence sur les groupes de pirates criminels comme REvil pour les inciter à se taire temporairement. Les relations entre les cybercriminels et les représentants de l’État reposent donc sur des accords explicites et implicites. Il est possible que la pression exercée par les Etats-Unis sur REvil ait été trop forte ces derniers temps. On ne sait pas encore ce qu’il adviendra de la personne arrêtée. Les Etats-Unis ont été informés de l’action, écrit encore le FSB.