Un gang prolifique de ransomware russophone a soudainement disparu d’Internet des mois après avoir exécuté certaines des cyberattaques les plus médiatisées contre des cibles américaines.
On ne sait pas pourquoi l’empreinte en ligne du groupe, y compris son blog et son infrastructure de traitement des paiements, est hors ligne, mais son absence a suscité des questions quant à savoir si les États-Unis ont pris des mesures quelques jours seulement après que le président Joe Biden a promis des conséquences pour une série de cyberattaques. Mais les gangs de ransomware sont également connus pour se dissoudre volontairement, pour ensuite revenir sous un nom différent.
Le groupe REvil est l’une des organisations cybercriminelles les plus prolifiques au monde. Il piraté plus de 360 cibles américaines rien qu’en 2021, dans le cadre d’une frénésie d’extorsion qui verrouille les ordinateurs des victimes, entraînant des demandes de paiement en échange d’un programme de décryptage et une promesse de ne pas divulguer de fichiers sensibles.
Le groupe a disparu du dark web tôt mardi matin sans laisser aucune indication connue pourquoi, et le moment est digne de mention. Biden a insisté à plusieurs reprises sur son intention de prendre des mesures contre les pirates informatiques ransomware, dont beaucoup résideraient en Russie. Vendredi, Biden a déclaré aux journalistes que les États-Unis pourraient attaquer les “serveurs” utilisés pour mener des attaques, mais il n’a pas donné de détails.
En mai, REvil a piraté le principal fournisseur de viande JBS, cryptant ses ordinateurs et convainquant l’entreprise de payer 11 millions de dollars en échange d’une promesse de ne pas divulguer ses fichiers à un blog d’extorsion qu’il tenait sur le dark web. Au cours du week-end du 4 juillet, le groupe a piraté la société de logiciels Kaseya, utilisant sa connectivité au plus grand écosystème Internet pour infecter plus de 1 500 organisations dans le monde.
Le site de blog de REvil, ainsi que d’autres sites REvil utilisés pour héberger des programmes de décryptage et le traitement des paiements, étaient tous hors ligne vers 1 h HE, a déclaré Allan Liska, qui suit les groupes de ransomware pour la société de cybersécurité Recorded Future.
Il n’y avait aucune indication immédiate de la raison pour laquelle les sites de REvil ont été supprimés. Il existe des dizaines, voire des centaines, de groupes de ransomware actifs. Comme membres de la cybercriminalité organisée, les pirates ransomware ne sont pas toujours au même endroit ni même dans le même pays. Parfois, ils se séparent volontairement, pour éventuellement se réorganiser sous un autre nom.
L’US Cyber Command, la branche du Pentagone en charge des cyberattaques offensives, aurait dans le passé mené des opérations pour perturber la cybercriminalité affiliée à la Russie, et l’un de ses meilleurs avocats a récemment écrit un appel ouvert pour qu’il tourne son objectif contre les gangs de ransomware. Les porte-parole du Cyber Command et du Conseil de sécurité nationale de la Maison Blanche ont refusé de commenter la disparition de REvil.
Biden a fait de la lutte contre les ransomwares l’une de ses principales priorités lors de sa rencontre avec le président russe Vladimir Poutine à Genève en juin, et il a réitéré dans son appel la semaine dernière qu’il souhaitait que la Russie prenne des mesures d’application de la loi contre les cybercriminels qui y opèrent. Le ministère russe des Affaires étrangères n’a pas répondu à la demande de commentaires.
Dans une rare interview en mars, un porte-parole de facto de REvil, sous le pseudonyme Unknown, a affirmé qu’ils n’abandonneraient jamais volontairement les ransomwares.
Même si les États-Unis ont réussi à mettre REvil hors ligne ou à convaincre Poutine de le sévir, d’autres groupes de ransomware sont toujours actifs et tous les pirates de ransomware ne sont pas en Russie.
Lors d’un appel téléphonique vendredi après-midi avec des journalistes, un haut responsable de l’administration, s’exprimant sous couvert d’anonymat, a déclaré que la position officielle de la Maison Blanche est que la résolution du problème de la Russie hébergeant des ransomwares pourrait prendre au moins six mois.
“C’est plus qu’une simple conversation entre les deux dirigeants”, a déclaré le responsable. “Il s’agit d’une vaste campagne, et elle n’aura pas d’effet marche-arrêt immédiat, comme un interrupteur.”
:quality(85)/cloudfront-us-east-1.images.arcpublishing.com/infobae/ECE5AL3KERG5FCIDZRKKOVMWEU.jpg)
