Les services répressifs de douze pays européens, dont l’Allemagne, les États-Unis et l’UE, ont apparemment réussi à porter un coup au groupe criminel REvil alias Sodinokibi : Les enquêteurs roumains ont arrêté deux suspects qu’ils accusent d’avoir mené des attaques informatiques avec le ransomware du même nom. Ils seraient responsables de 5 000 infections par le cheval de Troie de chiffrement, grâce auxquelles ils ont perçu un total d’un demi-million d’euros en paiements de rançon.
Sommaire
500 000 euros de paiement de rançon
Le groupe REvil est apparu en 2019 comme le successeur du désormais défunt gang GandCrab. Il est considéré comme l’une des forges de ransomware particulièrement actives du Darknet. Depuis février 2021, les services de police impliqués dans l’opération GoldDust ont arrêté trois autres membres de Sodinokibi/REvil et deux suspects liés à GandCrab, a indiqué Europol lundi. Les autorités du Canada, des Philippines, de la Corée du Sud et du Koweït ont également participé à l’enquête.
Ces sept arrestations font suite aux efforts internationaux conjoints des équipes chargées de l’application de la loi pour identifier et saisir une partie de l’infrastructure utilisée par la famille de ransomware REvil, selon Europol. Des membres du gang ont également été interceptés au cours de l’opération, selon le rapport. Les autres raids sur des personnes associées ont eu lieu en Europe, en Corée du Sud et au Koweït au cours de l’année. Toutes les personnes arrêtées auraient été collectivement responsables d’attaques contre environ 7 000 victimes.
Ces dernières années, les membres du programme d’affiliation de REvil ont ciblé des milliers de sociétés informatiques, de fournisseurs de services et de détaillants dans le monde entier. Après avoir réussi à crypter les données d’une entreprise, ils ont exigé des rançons élevées, allant jusqu’à 70 millions de dollars américains, en échange d’une clé de décryptage et d’une garantie que les données internes capturées pendant l’attaque ne seraient pas rendues publiques.
Coopération internationale
La France, l’Allemagne, la Roumanie, Europol et le parquet européen Eurojust ont donc intensifié leur action contre le gang en mai en mettant en place une équipe d’enquête commune. Europol avait déjà soutenu depuis 2018 une enquête sur GandCrab menée par la Roumanie, à laquelle participaient des organismes d’application de la loi de pays tels que le Royaume-Uni et les États-Unis.
L’Office de police de l’UE a déclaré avoir facilité le partage d’informations, aidé à la coordination entre les participants et fourni un soutien analytique opérationnel dans le cadre de l’opération. Il a également fourni des analyses dans les domaines des crypto-monnaies, des logiciels malveillants et de la criminalistique. Au cours des derniers jours d’action, des experts d’Europol ont été envoyés sur chaque site concerné. Un « poste de commandement virtuel » a facilité l’exécution des raids.
La société de sécurité informatique Bitdefender avait publié en septembre un nouvel outil de décryptage universel pour les victimes de toutes les attaques de ransomware REvil jusqu’en juillet. Europol a remercié le secteur de la cybersécurité d’avoir joué un rôle crucial pour « minimiser les dommages » causés par les chevaux de Troie d’extorsion. De nombreux partenaires avaient déjà fourni des outils pour une série de logiciels malveillants de ce type via le site web No More Ransom, a-t-il déclaré. Actuellement, des outils de décryptage pour GandCrab (versions 1, 4 et 5 à 5.2) et pour Sodinokibi/REvil y sont disponibles. En plus de Bitdefender, KPN et McAfee, entre autres, ont apporté leur expertise technique aux enquêteurs.
Plus récemment, les services répressifs européens et américains ont pris des mesures contre des « cyberacteurs » qui auraient utilisé les chevaux de Troie de chiffrement LockerGoga, MegaCortex et Dharma, entre autres. Auparavant, les autorités chargées de la sécurité, dont Europol, avaient démantelé un gang de ransomware ukrainien en octobre.