Mat Hayward - stock.adobe.com
Ransomware : la coopération internationale continue de porter ses fruits
Deux personnes impliquées dans des attaques avec ransomware ont été interpellées en Ukraine et les États-Unis essaient de mobiliser contre un fléau qui les atteint comme peu d’autres.
Europol vient d’annoncer l’arrestation de deux « membres d’un gang de ransomware » en Ukraine, une opération coordonnée « entre la gendarmerie, la police ukrainienne et le FBI ».
Dans un communiqué de presse, Europol précise que les individus en question sont suspectés « d’avoir commis une série d’attaques ciblées contre de très grands groupes industriels en Europe et en Amérique du Nord, à partir d’avril 2020 ». Les rançons demandées s’étalaient de 5 à 70 M€.
Le nom du groupe de ransomware concerné n’a pas été précisé.
Ces interpellations ne sont pas les premières survenant cette année, dans le cadre de la lutte contre la cybercriminalité. En juin, la police ukrainienne a annoncé l’arrestation de six pirates suspectés d’avoir conduit des cyberattaques avec le ransomware Cl0p.
Avant cela, le FBI avait annoncé l’arrestation d’un affilié canadien des opérateurs du rançongiciel NetWalker, ainsi que la saisie de leur serveur Web caché, en Bulgarie. À la même période, les forces de l’ordre ukrainiennes avaient revendiqué des arrestations dans le cadre de la lutte contre le ransomware Egregor. Tout cela alors que l’année s’était ouverte sur un coup fatal porté à Emotet.
Le 1er octobre, en ouverture du mois de la sensibilisation à la cybersécurité – le cybermoi/s en France – le président des États-Unis, Joe Biden, a annoncé la création prochaine d’une coalition de 30 pays contre la cybercriminalité et, en particulier, l’utilisation illégale de cryptodevises – le moyen de paiement incontournable des rançons.
Enfin, selon nos confrères de Kommersant, la coopération semble avoir repris, entre les États-Unis et la Russie, jusqu’à affecter les opérations d’Evil Corp., des opérateurs de TrickBot, et de REvil. Mi-juillet, l’arrêt des infrastructures de ce dernier avait suscité de nombreuses questions.
Selon le Washington Post, il y a bien eu infiltration dans l’infrastructure de REvil, et c’est elle qui a conduit à l’obtention de la clé de déchiffrement qui a permis de développer un outil de déchiffrement et d’aider les victimes de l’attaque menée plus tôt par rebond contre un vaste nombre de clients de Kaseya.
L’opération visait à affecter durablement les activités de REvil. Mais le groupe est de retour et commence à nouveau à égrainer les victimes, quoique à un rythme bien moins soutenu que précédemment.