Un groupe cybercriminel majeur a disparu corps et biens

Les spécialistes du ransomware REvil se sont volatilisés du réseau cette semaine et les responsables de cette disparition sont encore inconnus.
16.7.21
REvil Ransomware

Cela fait maintenant plusieurs années que les ransomwares sont en vogue. On pourrait même dire que ces logiciels conçus pour verrouiller des données informatiques sont le grand mal cybercriminel de notre époque : les revenus tirés des ransomwares auraient augmenté de 311% entre 2019 et 2020. Les malfrats qui gagnent leur vie grâce à eux demandent en effet aux propriétaires des systèmes infectés de verser une rançon pour récupérer leurs données (ou empêcher leur diffusion). Les responsables du Colonial Pipeline, un des plus grands oléoducs américains, ont ainsi déboursé cinq millions de dollars en Bitcoin pour récupérer le contrôle de leur infrastructure au mois de juin dernier.

Publicité

Les ransomwares s'accommodent de toutes les cibles : banques, grandes entreprises, chaînes de télévision... Certains gangs visent volontiers des écoles ou des hôpitaux. Beaucoup sous-traitent la diffusion de leurs logiciels malveillants à des intermédiaires qui obtiendront une portion de la rançon en cas de succès. Le groupe Darkside propose ainsi des paiements de 75% à 90% des butins aux individus qui trouvent et infectent des cibles pour eux. Cette vie attire aussi bien les hackers de bas niveau que les criminels de rue car les risques sont bas et les profits attirants : en 2020, environ 20% des victimes de ransomwares auraient payé pour retrouver le contrôle de leurs données.

Reste que toutes les opérations criminelles ont une fin souvent brutale : REvil, un des plus grands groupes de ransomwares du monde, semble avoir disparu du réseau dans la nuit du 12 au 13 juillet dernier. La page sur laquelle le groupe diffusait les informations des victimes récalcitrantes, leurs portails de paiement et même leur service de discussion se sont évaporés du dark web. Tout autour du monde, les professionnels de la cybersécurité se grattent la neckbeard : comment un groupe aussi puissant a-t-il pu se volatiliser de la sorte ? REvil est connu pour avoir ciblé Donald Trump et Microsoft. Quelques jours avant sa disparition, il avait aussi piraté les ordinateurs de HX5, une entreprise floridienne qui fournit des systèmes de lancement spatial et militaire aux forces armées américaines. 

La chute de REvil pourrait être liée au piratage de HX5. Le 9 juillet dernier, le président des États-Unis, Joe Biden, a déclaré lors d’une conséquence de presse consécutive à un échange téléphonique avec le président de la Fédération de Russie, Vladimir Poutine : « Je lui ai exprimé clairement ce que les États-Unis attendent quand une opération de ransomware provient de son sol. Même si elle n’est pas soutenue par l’État, nous comptons sur eux pour qu’ils agissent si nous leur fournissons assez d’information sur les responsables. » Un journaliste a alors souhaité savoir : les États-Unis agiraient-ils unilatéralement en cas de résistance des pouvoirs russes ? Réponse de Joe Biden : « Oui. » 

Selon toute vraisemblance, REvil était bel et bien un groupe russe : ses membres recrutaient sur des forums russophones et certains de ses sites étaient hébergés en Russie. Cela cadre avec la doxa du « grand méchant hacker russe (ou chinois) » mais aussi avec le laxisme manifeste du régime de Vladimir Poutine vis-à-vis des cercles cybercriminels. Les déclarations du président américain et la disparition apparente de REvil soulèvent néanmoins une énigme majeure : qui est responsable de la chute du groupe ? Les « forces cyberarmées » américaines ? Les autorités russes, ce qui marquerait un effort diplomatique considérable ? REvil pourrait aussi avoir décidé de se mettre au vert dans un tel contexte de pression. Au début du mois de juillet, ses troupes avaient atteint plus de 1500 organisations en piratant le logiciel de gestion Kaseya. Il avait alors réclamé une rançon de 70 millions de dollars.

Une autre question demeure : que doivent faire les victimes dont les systèmes informatiques sont encore verrouillés par les ransomwares de REvil ? Il arrive que les groupes cybercriminels spécialisés dans les rançongiciels diffusent toutes leurs clés de déchiffrement au moment de leur dissolution. Pas cette fois-ci. Les malfrats de REvil ont disparu, certes, mais sans mea culpa et manifestement avec l’argent du crime. En mars dernier, le groupe avait revendiqué des revenus de 100 millions de dollars par an

VICE France est aussi sur Twitter, Instagram, Facebook et sur Flipboard.
VICE Belgique est sur Instagram et Facebook.