Les autorités russes ont arrêté 14 membres présumés du célèbre gang de rançongiciels REvil.

L’opération de répression, annoncée vendredi 14 janvier, a été orchestrée par le Service fédéral de sécurité (FSB) russe à l’aide d’informations fournies par les forces de l’ordre américaines concernant les attaques de rançongiciels contre des entreprises occidentales.

Des raids sur 25 adresses dans et autour de Moscou et de Saint-Pétersbourg ont conduit à la saisie de 5,5 millions de dollars en espèces et en crypto-monnaie, à 20 voitures haut de gamme et à la saisie de matériel informatique ainsi qu’à plus d’une douzaine d’arrestations.

Les suspects ont ensuite été inculpés de « circulation illégale de moyens de paiement », selon un communiqué du FSB (traduit par Google de Version originale en russe) sur l’affaire. Cela suggérerait que les individus font face à des accusations de blanchiment d’argent et de fraude plutôt qu’à une intrusion informatique, bien qu’il y ait encore une certaine ambiguïté autour de l’affaire.

« Il n’est pas clair si les développeurs ou les criminels de niveau inférieur ont été arrêtés », a déclaré la société de renseignement Group-IB. La gorgée quotidienne.

Le FSB a ajouté qu’à la suite « des actions conjointes du FSB et du ministère de l’Intérieur de la Russie, la communauté criminelle organisée a cessé d’exister, l’infrastructure d’information utilisée à des fins criminelles a été neutralisée ».

Bien que cela ne soit pas tout à fait clair, des indications suggèrent que les autorités russes ont rassemblé un certain nombre de subalternes présumés plutôt que des patrons et des cerveaux dans une vaste conspiration criminelle de ransomware-as-a-service.

Le FSB a publié une version modifiée faits saillants vidéo de ses raids.

Résident REvil

Parmi les victimes confirmées de REvil (également connu sous le nom de « Sodinokibi »), citons le bureau de change mondial Travelex, la société de services informatiques Kaseya et JBS, l’un des plus grands fournisseurs de viande au monde.

En octobre 2021, les autorités américaines ont réussi à violer et à perturber l’infrastructure de REvil.

La dernière action des forces de l’ordre, potentiellement un coup encore plus grave, fait suite à une inculpation de novembre 2021 contre deux hommes accusés d’avoir déployé le rançongiciel REvil dans des cyberattaques contre Kaseya et d’autres.

Cette action implique des arrestations en Pologne et en Roumanie de suspects nommés (différents).

‘Pression constante’

Les ransomwares en tant que classe de menace restent un énorme problème, mais REvil lui-même est en grande partie inactif depuis octobre dernier, bien avant les dernières arrestations.

Des experts du renseignement sur les menaces interrogés par La gorgée quotidienne Malgré cela, la menace pourrait encore réapparaître sous une forme différente, de sorte que les déclarations confiantes selon lesquelles le risque a été neutralisé sont, au mieux, prématurées.

« REvil a disparu du radar en octobre suite à la pression constante des forces de l’ordre. Depuis lors, l’infrastructure du groupe est restée inactive », a déclaré Group-IB.

« Cependant, comme nous l’avons vu avec divers gangs de rançongiciels dans le passé, les fermetures ne signifient pas toujours la fin des activités malveillantes. Il existe de nombreux RaaS [Ransomware-as-a-Service] programmes d’affiliation en ce moment, avec au moins 21 nouveaux programmes d’affiliation ayant été identifiés par les analystes de Group-IB dans le dernier rapport Hi-Tech Crime Trends entre le S2 2020 et le S1 2021. »

Group-IB a ajouté : « Cela signifie que les affiliés de ransomwares peuvent passer d’un RaaS à un autre. De plus, les gangs de rançongiciels ont tendance à relancer les opérations sous des noms différents.

«Nous avons vu un tel changement de marque avec DoppelPaymer et Avaddon. De plus, en août, nous avons révélé les similitudes entre DarkSide et BlackMatter, son successeur apparent.