Les services répressifs roumains ont annoncé l’arrestation de deux individus pour leurs rôles en tant qu’affiliés de la famille de logiciels de rançon REvil, portant un coup sévère à l’un des gangs de cybercriminalité les plus prolifiques de l’histoire.
Les suspects auraient orchestré plus de 5 000 attaques de ransomware et extorqué près de 600 000 $ aux victimes, selon Europol. Les arrestations, qui ont eu lieu le 4 novembre, font partie d’une opération coordonnée appelée Poussière d’or, qui a entraîné l’arrestation de trois autres affiliés de REvil et de deux suspects liés à GandCrab au Koweït et en Corée du Sud depuis février 2021.
Cela inclut également un ressortissant ukrainien de 22 ans, Yaroslav Vasinskyi, qui a été arrêté début octobre et a été accusé d’avoir perpétré l’attaque dévastatrice contre la société de logiciels basée en Floride Kaseya en juillet 2021, affectant jusqu’à 1 500 entreprises en aval. Au total, les sept suspects liés aux deux familles de ransomwares auraient ciblé environ 7 000 victimes, tout en exigeant collectivement plus de 200 millions d’euros de rançons numériques.
Abréviation de Ransomware Evil, REvil (alias Sodinokibi) est considéré comme le successeur de GandCrab et a été lié à un certain nombre d’attaques de ransomware très médiatisées après son émergence dans le paysage des menaces en 2019. Fonctionnant comme un ransomware-as-a- service (RaaS), le syndicat de la cybercriminalité est connu pour louer son code source de logiciels malveillants à des affiliés, généralement après avoir vérifié leurs compétences techniques, qui, à leur tour, sont responsables de la réalisation des attaques contre les victimes appropriées.
Cela dit, REvil a connu quelques mois agités à la suite des attaques de ransomware Kaseya, notamment en partie alimentées par une série de mesures prises par les gouvernements du monde entier pour lutter contre l’écosystème des ransomwares, le qualifiant de « menace de sécurité mondiale croissante avec de graves conséquences économiques et sécuritaires. Le 14 juillet, les portails de fuite de données du dark web appartenant au groupe ont été supprimés du réseau, pour réapparaître en septembre après une interruption de deux mois.
Mais le groupe criminel a de nouveau fermé ses opérations le mois dernier après que le Cyber Command américain, en partenariat avec un gouvernement étranger, a compromis son infrastructure Tor, forçant ses sites Web à être mis hors ligne, selon un rapport du Washington Post. La société roumaine de cybersécurité Bitdefender a depuis mis à disposition un décrypteur universel gratuit que les victimes de REvil peuvent utiliser pour restaurer leurs fichiers et récupérer des attaques menées avant le 13 juillet 2021.
Le vaste effort international d’application de la loi visant à identifier, mettre sur écoute et saisir l’infrastructure utilisée par le cartel de ransomware REvil a été entrepris par l’Australie, la Belgique, le Canada, la France, l’Allemagne, les Pays-Bas, le Luxembourg, la Norvège, les Philippines, la Pologne, la Roumanie, la Corée du Sud, la Suède, la Suisse, le Koweït, le Royaume-Uni et les États-Unis, avec le soutien d’Europol, d’Eurojust et d’Interpol.