Les procureurs fédéraux ont extradé deux opérateurs présumés de rançongiciels, dont un homme qui, selon eux, était responsable d’une intrusion qui a infecté jusqu’à 1 500 organisations d’un seul coup, ce qui en fait l’une des pires attaques de chaîne d’approvisionnement de tous les temps.
Yaroslav Vasinskyi, 22 ans, a été arrêté en août dernier alors qu’il passait de son pays natal, l’Ukraine, à la Pologne. Cette semaine, il a été extradé vers les États-Unis pour faire face à des accusations passibles d’une peine maximale de 115 ans de prison. Vasinskyi est arrivé à Dallas, au Texas, le 3 mars et a été interpellé mercredi.
Tout d’abord : Sodinokibi/REvil
Dans un acte d’accusation, les procureurs ont déclaré que Vasinskyi était responsable de l’attaque du 2 juillet 2021 qui a d’abord frappé le vendeur de logiciels de gestion à distance Kaseya, puis a provoqué l’infection de son infrastructure entre 800 et 1 500 organisations qui s’appuyaient sur le logiciel Kaseya. Sodinokibi/REvil, le groupe de rançongiciels pour lequel Vasinskyi aurait travaillé ou s’est associé, a exigé 70 millions de dollars pour un décrypteur universel qui restaurerait les données de toutes les victimes.
Les tactiques, techniques et procédures utilisées dans l’attaque de la chaîne d’approvisionnement de Kaseya étaient impressionnantes. L’attaque a commencé par l’exploitation d’une vulnérabilité zero-day dans le service de gestion à distance VSA de Kaseya, qui, selon la société, est utilisé par 35 000 clients. Le groupe a volé un certificat de signature de logiciel légitime et l’a utilisé pour signer numériquement le logiciel malveillant. Cela a permis au groupe de supprimer les avertissements de sécurité qui seraient autrement apparus lors de l’installation du logiciel malveillant.
Pour ajouter encore plus de furtivité, les attaquants ont utilisé une technique appelée chargement latéral de DLL, qui place un fichier DLL malveillant usurpé dans un répertoire WinSxS de Windows afin que le système d’exploitation charge l’usurpation au lieu du fichier légitime. Les pirates de la campagne Kaseya ont abandonné une version de fichier obsolète qui restait vulnérable au chargement latéral de “msmpeng.exe”, qui est le fichier de l’exécutable Windows Defender.
Les procureurs fédéraux allèguent que Vasinskyi a provoqué le déploiement de code malveillant Sodinokibi/REvil dans le système de construction de logiciels de Kaseya pour déployer davantage le rançongiciel REvil sur les terminaux des réseaux clients. Vasinskyi est accusé de complot en vue de commettre une fraude et d’activités connexes en rapport avec des ordinateurs, de dommages à des ordinateurs protégés et de complot en vue de commettre un blanchiment d’argent.
Publicité
Vous souvenez-vous de NetWalker ?
Jeudi, les procureurs américains ont signalé une deuxième extradition liée au ransomware, celle-ci contre un Canadien accusé d’avoir participé à des dizaines d’attaques poussant le ransomware NetWalker.
Sébastien Vachon-Desjardins, 34 ans, de Gatineau, Québec, Canada, a été arrêté en janvier 2021 pour avoir reçu plus de 27 millions de dollars de revenus générés par NetWalker. Le ministère de la Justice a déclaré que l’accusé avait maintenant été transféré aux États-Unis et que son dossier était traité par le bureau extérieur du FBI à Tampa, en Floride.
NetWalker était un groupe avancé et prolifique qui fonctionnait sous un modèle RaaS, abréviation de « ransomware as a service », ce qui signifie que les principaux membres recrutaient des affiliés pour utiliser le malware NetWalker afin d’infecter des cibles. Les affiliés partageraient alors tous les revenus générés avec l’organisation. Une analyse de la blockchain a révélé qu’entre mars et juillet 2020, le groupe a extorqué un total de 25 millions de dollars. Parmi les victimes figuraient Trinity Metro, une agence de transport en commun au Texas qui propose 8 millions de voyages de passagers par an, et l’Université de Californie à San Francisco, qui a fini par payer une rançon de 1,14 million de dollars.
NetWalker était une opération humaine, ce qui signifie que les opérateurs passaient souvent des jours, des semaines, voire des mois à s’implanter au sein d’une organisation ciblée. En janvier 2021, les autorités bulgares ont saisi un site Web sur le darknet que les affiliés du rançongiciel NetWalker avaient utilisé pour communiquer avec les victimes. La saisie faisait partie d’une répression internationale coordonnée contre NetWalker.
Vachon-Desjardins est accusé de complot en vue de commettre une fraude informatique et de fraude électronique, de dommages intentionnels à un ordinateur protégé et de transmission d’une demande en lien avec l’endommagement d’un ordinateur protégé. La société d’analyse de la blockchain Chainalysis a déclaré que les transactions qu’elle a suivies montrent que l’homme canadien a également aidé à pousser les souches RaaS Sodinokibi, Suncrypt et Ragnarlocker.
Les extraditions de cette semaine font partie d’une série de succès remportés par les forces de l’ordre ces dernières semaines. En juin dernier, le FBI a déclaré avoir saisi 2,3 millions de dollars versés aux attaquants du ransomware qui avaient paralysé le réseau de Colonial Pipeline un mois plus tôt et déclenché des interruptions d’approvisionnement en essence et en carburéacteur le long de la côte Est. Le site Web de Darkside, le groupe de rançongiciels à l’origine de l’intrusion, est également tombé en panne à peu près au même moment.
