Le gouvernement russe a déclaré aujourd’hui avoir arrêté 14 personnes accusées de travailler pour « REvil», un groupe de rançongiciels particulièrement agressif qui a extorqué des centaines de millions de dollars aux organisations de victimes. Le Russe Service fédéral de sécurité (FSB) a déclaré que les mesures avaient été prises en réponse à une demande de responsables américains, mais de nombreux experts pensent que la répression fait partie d’un effort visant à réduire les tensions suscitées par la décision du président russe Vladimir Poutine de stationner 100 000 soldats le long de la frontière avec l’Ukraine.
Le siège du FSB sur la place Loubianka, à Moscou. Image : Wikipédia.
Le FSB mentionné il a arrêté 14 membres du rançongiciel REvil et fouillé plus de deux douzaines d’adresses à Moscou, Saint-Pétersbourg, Leningrad et Lipetsk. Dans le cadre des raids, le FSB a saisi plus de 600 000 dollars américains, 426 millions de roubles (~ 5,5 millions de dollars américains), 500 000 euros et 20 «voitures premium» achetées avec des fonds obtenus de la cybercriminalité.
« Les activités de recherche étaient basées sur l’appel des autorités américaines, qui ont dénoncé le chef de la communauté criminelle et son implication dans l’empiètement sur les ressources d’information des entreprises étrangères de haute technologie en introduisant des logiciels malveillants, en cryptant des informations et en extorquant de l’argent pour son décryptage », a déclaré le FSB. « Les représentants des autorités compétentes américaines ont été informés des résultats de l’opération. »
Le FSB n’a divulgué les noms d’aucune des personnes arrêtées, bien qu’un rapport de l’agence de presse russe TASS mentionne deux accusés: Roman Guennadievitch Mouromskiet Andreï Sergueïevitch Bessonov. Média russe RIA Novosti a publié des séquences vidéo de certains des raids :
REvil est largement considéré comme une réincarnation de GandCrab, un programme d’affiliation de rançongiciel en langue russe qui s’est vanté d’avoir volé plus de 2 milliards de dollars lors de sa fermeture à l’été 2019. Pendant environ les deux prochaines années, le « Happy Blog » de REvil serait publient des communiqués de presse nommant et déshonorant des dizaines de nouvelles victimes chaque semaine. Une analyse de février 2021 de chercheurs d’IBM a révélé le gang REvil gagné plus de 120 millions de dollars en 2020 seulement.
Mais tout cela a changé l’été dernier, lorsque REvil s’est associé à un autre groupe de rançongiciels – Côté obscur – attaqué Pipeline colonial, provoquant des pénuries de carburant et des flambées de prix à travers les États-Unis. Quelques mois plus tard, une opération d’application de la loi dans plusieurs pays a permis aux enquêteurs pour pirater les opérations du gang REvil et forcer le groupe hors ligne.
En novembre 2021, Europol annoncé il a arrêté sept affiliés de REvil qui ont collectivement demandé plus de 230 millions de dollars de demandes de rançon depuis 2019. Dans le même temps, les autorités américaines ont dévoilé deux actes d’accusation contre deux cybercriminels accusés de REvil, qui ont qualifié les hommes de « REvil Affiliate # 22 » et « Affilié REvil #23. »
Il est clair que les autorités américaines connaissent depuis un certain temps les vrais noms des principaux capitaines et faiseurs d’argent de REvil. L’automne dernier, le président Biden a déclaré à Poutine que il s’attend à ce que la Russie agisse lorsque les États-Unis partagent des informations sur des Russes spécifiques impliqués dans des activités de ransomware.
Alors pourquoi maintenant ? La Russie a amassé environ 100 000 soldats le long de sa frontière sud avec l’Ukraine, et les efforts diplomatiques pour désamorcer la situation auraient échoué. Le Washington Post et d’autres médias aujourd’hui rapport que l’administration Biden a accusé Moscou d’avoir envoyé des saboteurs dans l’est de l’Ukraine pour organiser un incident qui pourrait donner à Poutine un prétexte pour ordonner une invasion.
« La chose la plus intéressante à propos de ces arrestations est le moment », a déclaré Kévin Breendirecteur de la recherche sur les menaces chez Laboratoires immersifs. « Pendant des années, la politique du gouvernement russe à l’égard des cybercriminels a été pour le moins moins proactive. Avec la Russie et les États-Unis actuellement à la table diplomatique, ces arrestations font probablement partie d’une négociation politique beaucoup plus large et à plusieurs niveaux.
Le président Biden a averti que la Russie pouvait s’attendre à des sanctions sévères si elle choisissait d’envahir l’Ukraine. Mais Poutine a déclaré à son tour que de telles sanctions pourraient provoquer une rupture complète des relations diplomatiques entre les deux pays.
Dimitri Alperovitchco-fondateur et ancien directeur technique de la société de sécurité FouleStrikea qualifié les arrestations de REvil en Russie de « diplomatie des rançongiciels ».
« C’est la diplomatie russe des rançongiciels », a déclaré Alperovitch sur Twitter. « C’est un signal pour les États-Unis – si vous ne promulguez pas de sanctions sévères contre nous pour l’invasion de l’Ukraine, nous continuerons à coopérer avec vous dans les enquêtes sur les rançongiciels. »
Les arrestations de REvil ont été annoncées alors que de nombreux sites Web gouvernementaux en Ukraine étaient dégradé par des pirates avec un message inquiétant avertissant les Ukrainiens que leurs données personnelles étaient téléchargées sur Internet. « Ayez peur et attendez-vous au pire », prévenait le message.
Les experts disent que l’Ukraine a de bonnes raisons d’avoir peur. L’Ukraine a longtemps été utilisée comme terrain d’essai pour les capacités de piratage offensif russes. Des pirates informatiques russes soutenus par l’État ont été accusés d’avoir Cyberattaque du 23 décembre 2015 sur le réseau électrique ukrainien qui a laissé 230 000 clients frissonner dans le noir.
L’avertissement laissé sur les sites Web du gouvernement ukrainien qui ont été effacés au cours des dernières 24 heures. La même déclaration est écrite en ukrainien, russe et polonais.
La Russie a également été soupçonnée d’avoir publié PasPetyaune cyberattaque à grande échelle visant initialement les entreprises ukrainiennes qui a fini par créer une épidémie mondiale de logiciels malveillants extrêmement perturbatrice et coûteuse.
Bien qu’il n’y ait pas eu d’attribution claire de ces dernières attaques à la Russie, il y a des raisons de soupçonner la main de la Russie, a déclaré David SalveDirecteur adjoint de L’Alliance pour la sécurité de la démocratie.
«Ce sont des tactiques russes éprouvées. La Russie a utilisé des cyberopérations et des opérations d’information lors de la préparation de son invasion de la Géorgie en 2008. Elle mène depuis longtemps des cyberattaques massives contre les infrastructures ukrainiennes, ainsi que des opérations d’information ciblant les soldats ukrainiens et les citoyens ukrainiens. Et il n’est absolument pas surprenant qu’il utilise ces tactiques maintenant, alors qu’il est clair que Moscou cherche n’importe quel prétexte pour envahir à nouveau l’Ukraine et jeter le blâme sur l’Occident avec son cynisme typique.