“Je pense que le fait d’être préoccupé par les arrière-pensées de la Russie [for conducting the REvil arrests] est parfaitement raisonnable », déclare John Hultquist, vice-président du renseignement sur les menaces chez la société de sécurité Mandiant. “C’est essentiellement une plume dans leur casquette et vous pourriez certainement en avoir une vision cynique et penser que tout cela est un signal. Mais je pense que finalement c’est quand même une bonne nouvelle. Les acteurs avaient besoin de savoir que si vous harcelez des milliers de personnes et volez des centaines de millions de dollars, vous ne pouvez pas simplement partir au coucher du soleil.
Ce n’est pas la première fois qu’un membre présumé de REvil fait l’objet de poursuites de la part des forces de l’ordre. En novembre, Yaroslav Vasinskyi, ressortissant ukrainien de 22 ans, a été arrêté en Pologne et accusé d’avoir mené l’attaque de Kaseya. Vasinskyi aurait abusé d’un produit Kaseya pour déployer le code REvil qui a ensuite diffusé le rançongiciel du groupe via les réseaux de Kaseya, selon un acte d’accusation du ministère de la Justice. Yevgeniy Polyanin, un ressortissant russe de 28 ans, a également été accusé d’avoir déployé le ransomware de REvil – il est accusé d’avoir mené 3 000 attaques de ransomware – et s’est vu confisquer 6,1 millions de dollars de ses actifs.
Les forces de l’ordre du monde entier, y compris en Ukraine, collaborent de plus en plus pour lutter contre les acteurs des ransomwares. Depuis février 2021, Europol a arrêté cinq pirates informatiques liés à REvil et affirme que 17 pays ont travaillé sur ses enquêtes. Il s’agit notamment des États-Unis, du Royaume-Uni, de la France, de l’Allemagne et de l’Australie.
Sans la coopération de la Russie, cependant, les responsables ont eu des limites strictes sur les gangs qu’ils pouvaient cibler efficacement. Après avoir atteint un zénith – ou un nadir – avec une série d’attaques perturbatrices et destructrices à l’été 2021, REvil s’est surtout éteint après que les forces de l’ordre internationales aient compromis son infrastructure. Cependant, d’autres groupes basés en Russie, comme le gang notoire DarkSide et son successeur BlackMatter, ont poursuivi leur ciblage, du moins pour le moment.
“La grande question, je suppose, est-ce que cela représente un réel changement dans les intentions de la Russie de faire face à ce problème, ou REvil a-t-il simplement été sacrifié pour tenter d’alléger une certaine pression internationale?” déclare Brett Callow, analyste des menaces chez la société antivirus Emsisoft. “Je soupçonnerais ce dernier.”
Callow et d’autres soulignent cependant que même s’il faudra du temps pour en savoir plus sur l’approche du gouvernement russe, voir autant d’opérateurs REvil appréhendés devrait avoir un certain effet dissuasif. Et dans une industrie interconnectée comme le marché des rançongiciels, chaque perturbation est importante.
“Je suis d’accord qu’il doit y avoir une motivation autre que” les États-Unis nous ont gentiment demandé “, mais quoi qu’il en soit, cela perturbera davantage l’économie des ransomwares, du moins à court terme”, déclare Jake Williams, intervenant en cas d’incident et ancien hacker de la NSA.
À long terme, plusieurs groupes de rançongiciels opérant depuis la Russie restent très actifs. Le retrait de REvil est un signe de progrès, mais ce qui compte vraiment, c’est l’appétit du Kremlin pour poursuivre également ces autres gangs.
Plus de grandes histoires WIRED
