Les autorités roumaines chargées de l’application des lois ont arrêté le 4 novembre deux suspects soupçonnés d’être des affiliés au ransomware Sodinokibi/REvil, tous deux soupçonnés d’avoir infecté des milliers de victimes.
DIICOT (Direction roumaine d’enquête sur le crime organisé et le terrorisme) et les officiers de police judiciaire effectué quatre perquisitions domiciliaires à Constanța, la saisie d’appareils mobiles (ordinateurs portables, téléphones portables) et de supports de stockage.
Le tribunal de Bucarest a également ordonné la détention provisoire des deux affiliés de REvil pendant 30 jours.
Le même jour, les autorités koweïtiennes ont également arrêté un affilié au ransomware GandGrab, les trois suspectés d’avoir environ 7 000 attaques et de demander plus de 200 millions d’euros de rançon.
Les autorités ont arrêté sept suspects liés à REvil et GandGrab cette année au total. Trois autres personnes soupçonnées d’être affiliées à REvil ont été appréhendées en Corée du Sud en février, avril et octobre, et une a été arrêtée en Europe le mois dernier.
De @McAfee_ATR nous sommes fiers d’avoir aidé à la recherche technique, en identifiant l’infrastructure clé, les suspects et en fournissant des extracteurs de configuration personnalisés pour les échantillons REvil. @EC3Europol @PolitieTHTC @FBI @metpoliceuk Ensemble avec @BitdefenderLabs et @kpnsecurity https://t.co/LBFRisnSAk
– John Fokker (@John_Fokker) 8 novembre 2021
L’annonce, faite aujourd’hui par Europol (l’Agence de l’Union européenne pour la coopération des services répressifs), indique que les arrestations sont le résultat de l’opération GoldDust, qui impliquait des agents des forces de l’ordre de 17 pays, Europol, Eurojust et INTERPOL.
« Depuis 2018, Europol a soutenu une enquête menée par la Roumanie qui cible la famille de ransomware GandCrab et a impliqué les autorités répressives d’un certain nombre de pays, dont le Royaume-Uni et les États-Unis », a déclaré Europol.
« Toutes ces arrestations font suite aux efforts conjoints des forces de l’ordre internationales d’identification, d’écoutes téléphoniques et de saisie d’une partie de l’infrastructure utilisée par la famille de ransomwares Sodinokibi/REvil, qui est considérée comme le successeur de GandCrab. »
Ces récentes arrestations montrent que les forces de l’ordre du monde entier ont réalisé qu’elles ne pouvaient pas atteindre les principaux opérateurs de gangs de ransomware qui sont en sécurité en Russie.
Cependant, leurs opérations de Ransomware-as-a-Service (RaaS) peuvent facilement être perturbées par l’arrestation d’affiliés de ransomware situés partout dans le monde.