Mat Hayward - stock.adobe.com
Ransomware : l’offensive judiciaire se poursuit sans relâche
À quelques jours d’intervalle, Interpol a annoncé l’arrestation de membres suspectés du groupe Cl0p. Europol estime de son côté avoir frappé des affidés de REvil. Des annonces qui surviennent après des interpellations en rapport avec les activités de TrickBot.
La valse des interpellations en rapport avec des activités de cyberdélinquance se poursuit. Europol vient ainsi d’annoncer avoir « débranché » cinq affidés de franchise REvil/Sodinokibi, à la suite d’une intervention des forces de police roumaines : le 4 novembre, celles-ci ont donc « arrêté deux individus suspectés de cyberattaques avec déploiement du ransomware Sodinokibi/REvil ». Ils seraient responsables « de 5 000 infections qui, en tout, ont rapporté un demi-million d’euros en paiement de rançons ». En octobre, une personne soupçonnée d’être impliquée dans les activités de REvil avait en outre été identifiée par les autorités allemandes, qui ont préparé un mandat d’arrêt.
Dans son communiqué, Europol rappelle qu’en février, avril et octobre 2021, « les autorités en Corée du Sud ont interpellé trois affidés impliqués dans les familles de rançongiciel GandCrab et Sodinokibi/REvil, ayant totalisé plus de 1 500 victimes ». Et d’ajouter à cela l’arrestation d’un autre affidé, au Koweït cette fois-ci. Bilan des courses : « un total de 7 suspects liés à ces deux familles de ransomware ont été arrêtés depuis février 2021 ».
Parallèlement, CNN indique que les forces de l’ordre américaines ont saisi environ 6 millions de dollars versés à titre de rançon et que les États-Unis s’apprêtent à demander l’extradition d’un Ukrainien interpellé en Pologne le 8 octobre et suspecté d’avoir conduit l’attaque dite Kaseya en juillet.
Mais cela ne s’arrête pas là. Fin octobre, Europol a annoncé que 12 personnes avaient été identifiées et visées, soupçonnées d’avoir conduit des attaques informatiques avec rançongiciel contre plus de 1 800 victimes dans 71 pays – jusqu’à avoir touché des infrastructures critiques. Les ransomwares LockerGoga, MegaCortex et Dharma sont évoqués. Des interpellations sont survenues le 26 octobre, en Suisse et en Ukraine.
De son côté, Interpol vient d’annoncer l’émission de deux notices rouges à l’encontre de personnes soupçonnées d’être liées aux activités de Cl0p, dans la continuité de six arrestations réalisées en juin.
Enfin, fin octobre, le Russe Vladimir Dunaev, soupçonné d’être impliqué dans les activités du maliciel TrickBot, a été présenté devant un tribunal américain. Il avait précédemment été interpellé en Corée du Sud et extradé vers les États-Unis. Début juin, des poursuites avaient été engagées contre un ressortissant letton accusé d’avoir participé au développement de TrickBot.
Enfin, les États-Unis ont indiqué, le 4 novembre, proposer jusqu’à 10 millions de dollars de récompense de l’échange « d’informations menant à l’identification ou la localisation d’individus » aux commandes de DarkSide, ou jusqu’à 5 millions de dollars pour un affidé.