Le ministère de la Justice des États-Unis a annoncé aujourd’hui des accusations contre un affilié au ransomware REvil responsable de l’attaque contre la plate-forme Kaseya MSP le 2 juillet et de la saisie de plus de 6 millions de dollars auprès d’un autre partenaire de REvil.
Le suspect est Yaroslav Vasinskyi, un ressortissant ukrainien de 22 ans, arrêté pour activité de cybercriminalité le 8 octobre à la demande des États-Unis alors qu’il tentait d’entrer en Pologne depuis son pays d’origine.
Vasinskyi est connu sous plusieurs alias (Profcomserv, Rabotnik, Rabotnik_New, Yarik45, Yaraslav2468 et Affiliate 22). Il est l’un des sept affiliés de REvil ransomware qui ont été appréhendés jusqu’à présent, dans le cadre d’importants efforts internationaux pour lutter contre la menace des ransomwares.
Demandes de rançon de plus de 760 millions
Alors que la nouvelle de Vasinskyi se fait arrêter n’est pas passé inaperçu, la raison exacte n’était pas claire jusqu’à ce que son acte d’accusation et son mandat d’arrêt soient descellés le 5 novembre.
Lors d’une conférence de presse aujourd’hui, le DoJ a annoncé les charges retenues contre Vasinskyi, soulignant son implication dans l’attaque de Kaseya qui a touché environ 1 500 entreprises dans le monde.
Le ransomware REvil, également connu sous le nom de Sodinokibi, est le successeur de GandCrab et a fait l’objet d’un premier test en avril 2019 lors d’une attaque qui a exploité une vulnérabilité dans WebLogic Server.
Selon le accusation, Vasinskyi est une filiale de longue date de l’opération de ransomware REvil, qui en fait partie depuis au moins le 1er mars 2019 et a déployé environ 2 500 attaques contre des entreprises dans le monde entier.
L’enquête a révélé que les demandes de rançon de Vasinskyi s’élevaient à 767 millions de dollars, mais que les victimes n’ont payé que 2,3 millions de dollars.
En revanche, l’ensemble de l’opération de ransomware REvil a reçu plus de 200 millions de dollars depuis le début de son activité et a chiffré au moins 175 000 ordinateurs.
De toutes les entreprises attaquées, celle du fournisseur de services gérés Kaseya était la plus importante, la demande de rançon étant de 70 millions de dollars pour décrypter tous les systèmes.
Cet incident a servi de catalyseur aux États-Unis pour lancer une vaste opération contre la menace des ransomwares en coopération avec les forces de l’ordre du monde entier.
Les États-Unis demandent maintenant l’extradition de Vasinskyi et ont dévoilé les charges retenues contre lui.
Saisir l’argent d’un ransomware
Le DoJ a également annoncé que les forces de l’ordre avaient saisi 6,1 millions de dollars auprès d’un autre affilié du logiciel de rançon REvil, Yevgeniy Polyanin, qui est actuellement en fuite.
Polyanin aurait perpétré environ 3 000 attaques de ransomware contre diverses organisations, extorquant environ 13 millions de dollars aux victimes.
Auparavant, les États-Unis avaient récupéré 4,4 millions de dollars du paiement de ransomware que Colonial Pipeline avait versé au gang de ransomware DarkSide à la suite d’une attaque qui avait entraîné des pénuries temporaires de gaz.
Les charges retenues contre Polyanin sont les mêmes que pour Vasinskyi :
- un chef d’accusation de complot en vue de commettre une fraude et d’activités connexes en rapport avec des ordinateurs
- neuf chefs d’accusation de dommages intentionnels à un ordinateur protégé
- un chef de complot en vue de commettre un blanchiment d’argent
En cinq mois environ, les efforts du DoJ ont abouti à l’arrestation de sept affiliés de l’opération de ransomware REvil.
Le 4 novembre, les autorités roumaines ont arrêté deux partenaires présumés du ransomware REvil. Un affilié de GandCrab a été arrêté le même jour au Koweït. Trois autres personnes ont été appréhendées en février, avril et octobre.