La Russie arrête les membres d’un gang de rançongiciels REvil et saisit 6,6 millions de dollars

Russian govt arrests REvil ransomware gang members

Le Service fédéral de sécurité (FSB) de la Fédération de Russie a déclaré avoir fermé le gang de ransomware REvil après que les autorités américaines eurent signalé le chef.

Plus d’une douzaine de membres du gang ont été arrêtés à la suite de descentes de police à 25 adresses, a annoncé aujourd’hui l’agence de sécurité russe dans un communiqué de presse.

« La base des activités de recherche était l’appel des autorités américaines compétentes, qui ont dénoncé le chef de la communauté criminelle et son implication dans des empiètements sur les ressources d’information d’entreprises étrangères de haute technologie en introduisant des logiciels malveillants, en cryptant des informations et en extorquant de l’argent. pour son décryptage » – Service fédéral de sécurité de la Russie

Les autorités russes ont arrêté 14 personnes soupçonnées de faire partie de l’opération de ransomware-as-a-service (RaaS) REvil et ont confisqué des crypto-monnaies et de la monnaie fiduciaire comme suit :

  • plus de 426 millions de roubles (environ 5,5 millions de dollars)
  • 600 mille dollars américains
  • 500 mille euros (environ 570 000 $)

Les autorités russes ont également confisqué 20 voitures de luxe achetées avec de l’argent obtenu à partir de cyberattaques, du matériel informatique et des portefeuilles de crypto-monnaie utilisés pour développer et maintenir l’opération RaaS.

Les images des raids disponibles ci-dessous montrent comment les agents ont détenu les suspects et confisqué de l’argent et des appareils électroniques :

YouTube video

Les raids ont eu lieu à des adresses dans les régions de Moscou, Saint-Pétersbourg, Léningrad et Lipetsk.

le Le FSB dit qu’il a pu identifier tous les membres du gang REvil, documenter leurs activités illégales et établir leur participation à la « circulation illégale de moyens de paiement ».

Outre la création du logiciel malveillant de cryptage de fichiers et son déploiement sur les réseaux d’entreprise à travers le monde, les membres de REvil ont également été impliqués dans le vol d’argent sur les comptes bancaires de citoyens étrangers.

« À la suite des actions conjointes du FSB et du ministère de l’Intérieur de la Russie, la communauté criminelle organisée a cessé d’exister, l’infrastructure d’information utilisée à des fins criminelles a été neutralisée » Service fédéral de sécurité de la Russie

Le FSB dit avoir informé les représentants des autorités américaines compétentes des résultats de l’opération.

Le rançongiciel REvil s’effondre

Le rançongiciel REvil (alias Sodin et Sodinokibi) a émergé en avril 2019 du vide laissé par l’arrêt de l’opération GandCrab.

En moins d’un an, le gang est devenu le groupe de rançongiciels le plus prolifique, demandant certaines des rançons les plus élevées à ses victimes. Il est devenu infamant en août 2019 lorsqu’il a frappé plusieurs administrations locales au Texas et a exigé une rançon collective de 2,5 millions de dollars – la plus élevée à cette date.

Bientôt, demander d’énormes sommes d’argent à de grandes organisations et être payé est devenu la norme. En un an, le gang a revendiqué des bénéfices supérieurs à 100 millions de dollars.

Le coup le plus médiatisé de REvil a été l’attaque de la chaîne d’approvisionnement de Kaseya qui a paralysé environ 1 500 entreprises dans le monde entier. La demande de rançon pour décrypter toutes les organisations était de 70 millions de dollars en Bitcoin.

Cette attaque a provoqué une réponse sévère des États-Unis, le président Biden demandant au président Poutine de prendre des mesures contre les cybercriminels résidant en Russie ; sinon, les États-Unis agiraient seuls.

Le gang a également été le premier à avoir un représentant sous le nom de forum UNKN au début, puis est passé à Unknown, qui a promu l’entreprise REvil RaaS dans la communauté des hackers criminels russophones.

Ce représentant public a disparu peu après l’attaque de Kaseya (certains supposaient qu’Inconnu avait été arrêté) et la pression des forces de l’ordre internationales s’est accrue.

Après l’attaque de Kaseya, l’opération REvil a fait une pause puis a repris ses opérations deux mois plus tard. Ce que les opérateurs ne savaient pas, c’est que les forces de l’ordre avaient piraté leurs serveurs avant la pause et lorsqu’ils ont restauré les systèmes à partir de sauvegardes, les criminels ont également restauré les machines contrôlées par les forces de l’ordre.

L’action du FSB contre REvil intervient après que les organisations américaines et internationales d’application de la loi ont uni leurs forces pour identifier et arrêter les membres des opérations de ransomware.

En conséquence, les États-Unis ont annoncé en novembre 2021 qu’ils avaient arrêté un affilié de REvil (ressortissant ukrainien Yaroslav Vasinskyi) responsable de l’attaque de Kaseya et saisi plus de 6 millions de dollars à un autre partenaire de Revil (ressortissant russe Yevgeniy Polyanin), qui aurait déployé environ 3 000 attaques de rançongiciels.

Le même mois, les autorités roumaines ont arrêté deux affiliés au rançongiciel REvil responsables de 5 000 attaques qui leur ont rapporté 500 000 euros de rançons collectées.

Mettre à jour [January 14, 2022, 13:26 EST]: Ajout d’informations générales sur le gang de rançongiciels REvil et les arrestations de ses affiliés