La Russie inculpe 8 membres présumés d’un gang de rançongiciels REvil

Eight suspected REvil ransomware gang members identified and charged

Huit membres de l’opération de rançongiciel REvil qui ont été détenus par des officiers russes font actuellement face à des accusations criminelles pour leur activité illégale.

Vendredi, le Service fédéral de sécurité (FSB) de la Fédération de Russie – le service de renseignement intérieur du pays, a annoncé des perquisitions au domicile de 14 personnes soupçonnées de faire partie du gang de rançongiciels REvil.

L’opération a été menée en coopération avec le ministère russe de l’Intérieur après que les autorités américaines ont dénoncé le chef du groupe et exigé que des mesures soient prises contre les cybercriminels résidant en Russie.

Les noms des suspects étaient inconnus jusqu’à aujourd’hui, lorsque le tribunal de Tverskoï de Moscou en a identifié huit à partir des documents de leur arrestation :

  • Roman Mouromski
  • Andreï Bessonov
  • Golovachuk Mikhail A.
  • Zayets Artem N.
  • Khansvyarov Ruslan A.
  • Korotaev Dmitry V.
  • Puzyrevsky DD
  • Malozemov Alexeï V.

Les suspects ont été emprisonnés pendant deux mois à titre préventif et tous font l’objet d’une enquête pour circulation illégale de moyens de paiement (cartes de crédit et autres documents de paiement contrefaits, crypto-monnaie).

Pour cette raison, les cybercriminels sur certains forums de hackers pensent que les suspects ont été arrêtés pour cardage (trafic et utilisation de cartes de crédit volées).

Yelisey Boguslavskiy, responsable de la recherche à AdvIntel prévention des menaces, dit que les personnes arrêtées étaient probablement des affiliés de bas niveau et non le cœur de l’opération REvil, qui développent le logiciel malveillant et maintiennent l’opération ransomware-as-a-service (RaaS).

Toutes les personnes arrêtées sont accusées d’avoir commis un crime en vertu de la partie 2 de l’article 187 du Code pénal de la Fédération de Russie, Selon l’agence de presse russe TASS, qui porte un phrase (PDF) entre cinq et huit ans de prison.

Selon Martin Matishak de The Record, un haut responsable de l’administration Biden a déclaré que l’un des 14 suspects perquisitionnés était également responsable de l’attaque de ransomware qui a perturbé les opérations de Colonial Pipeline. Le malware a été déployé par le gang de rançongiciels DarkSide, rebaptisé plus tard BlackMatter.

REvil s’est fait un nom sur les forums de hackers russophones en créant une entreprise RaaS privée et très rentable qui n’acceptait que les intrus professionnels ayant accès aux grands réseaux d’entreprise.

Le gang est responsable de certains des incidents de ransomware les plus médiatisés, tels que l’attaque contre la viande JBS, qui a payé une rançon de 11 millions de dollars, ou Kaseya – un développeur de logiciels de gestion informatique pour les fournisseurs de services gérés, qui REvil a exigé 70 millions de dollars pour le décryptage outil.

Selon le ministère américain de la Justice, l’opération de rançongiciel REvil a reçu plus de 200 millions de dollars depuis son apparition au début de 2019 et a chiffré au moins 175 000 systèmes.

On ne sait pas si les huit personnes déjà inculpées faisaient partie du noyau de l’opération REvil ou seulement des affiliés, mais le FSB affirme avoir identifié tous les membres du gang des rançongiciels :

« Le FSB de Russie a établi la composition complète de la communauté criminelle REvil et l’implication de ses membres dans la circulation illégale de moyens de paiement, et a documenté des activités illégales » – Service fédéral de sécurité de la Fédération de Russie

Lors de raids à 25 adresses de 14 membres présumés du gang de rançongiciels REvil, les forces de l’ordre ont trouvé et saisi plus de 6,6 millions de dollars en fiat et en crypto-monnaie.