Pendant des années, basé en Russie des gangs de rançongiciels ont lancé des attaques paralysantes contre des entreprises, des hôpitaux et des organismes du secteur public, extorquant des centaines de millions de dollars aux victimes et provoquant des perturbations indicibles. Et ils l’ont fait en toute impunité, mais pas plus. Aujourd’hui, dans le cadre d’une campagne visant à mettre fin aux gangs de rançongiciels, les gouvernements britannique et américain ont démasqué certains des criminels à l’origine des attaques.
Dans un geste rare, les autorités ont sanctionné sept membres présumés de gangs de rançongiciels notoires et publié leurs noms réels, dates de naissance, adresses e-mail et photos. Les sept cybercriminels nommés appartiendraient aux groupes de rançongiciels Conti et Trickbot, qui sont liés et souvent appelés conjointement Wizard Spider. De plus, le Royaume-Uni et les États-Unis dénoncent désormais explicitement les liens entre Conti et Trickbot et les services de renseignement russes.
“En sanctionnant ces cybercriminels, nous leur envoyons un signal clair, ainsi qu’aux autres personnes impliquées dans les rançongiciels, qu’ils seront tenus responsables”, a déclaré jeudi le ministre britannique des Affaires étrangères James Cleverly dans un communiqué. “Ces cyberattaques cyniques causent de réels dommages à la vie et aux moyens de subsistance des gens.”
Les sept membres de gang nommés par les deux gouvernements sont : Vitaly Kovalev, Maksim Mikhailov, Valentin Karyagin, Mikhail Iskritskiy, Dmitry Pleshevskiy, Ivan Vakhromeyev et Valery Sedletski. Tous les membres ont des identifiants en ligne, tels que Baget et Tropa, qu’ils utilisaient pour communiquer entre eux sans utiliser leurs identités réelles.
Jeudi, le National Cyber Security Center (NCSC) du Royaume-Uni a déclaré qu’il était “très probable” que des membres du groupe Conti aient des liens avec “les services de renseignement russes” et que ces agences aient “probablement” dirigé certaines des actions du gang. Le NCSC fait partie de l’agence de renseignement britannique GCHQ, et c’est la première fois que le Royaume-Uni sanctionne les criminels rançongiciels.
De même, le département américain du Trésor a conclu que les membres du groupe Trickbot sont “associés aux services de renseignement russes”. Il a ajouté que les actions du groupe en 2020 étaient alignées sur les intérêts internationaux de la Russie et “le ciblage précédemment effectué par les services de renseignement russes”.
Selon le Trésor américain, ces membres étaient impliqués dans le développement de logiciels malveillants et de rançongiciels, le blanchiment d’argent, la fraude, l’injection de code malveillant dans des sites Web pour voler des informations de connexion et des rôles de gestion. Dans le cadre des sanctions, le Royaume-Uni a gelé les avoirs appartenant aux acteurs du ransomware et leur a imposé des interdictions de voyager. Le tribunal de district américain du district du New Jersey a également rendu public un acte d’accusation accusant Vitaliy Kovalev de complot en vue de commettre une fraude bancaire et huit chefs de fraude bancaire contre des institutions financières américaines en 2009 et 2010.
Les gouvernements ont eu du mal à maîtriser la menace croissante des ransomwares, en grande partie parce que de nombreux groupes criminels opèrent en Russie. Le Kremlin a fourni un refuge sûr à ces mauvais acteurs, tant qu’ils ne ciblent pas les entreprises russes. L’année dernière, à la suite d’une série d’attaques particulièrement agressives et perturbatrices contre des cibles américaines et britanniques, les forces de l’ordre russes ont arrêté plus d’une douzaine de membres présumés du célèbre gang de rançongiciels REvil. Mais la Russie a continué d’être le point d’origine d’un éventail d’activités cybercriminelles, y compris des attaques de rançongiciels.
