Europol et le département de la Justice américain ont annoncé le même jour, le 8 novembre, l’arrestation de plusieurs pirates liés à Sodinokibi/REvil ou son prédécesseur GandCrab. C’est le résultat de l’opération GoldDust, qui a impliqué 17 pays à travers le monde, ainsi qu’Interpol, Europol et Eurojust.

Les États-Unis rattrapent l’auteur de l’attaque contre Kaseya

Les suspects sont ce que l’on appelle des « affiliés » à REvil ou GandCrab. L’écosystème des rançongiciels s’est structuré ses dernières années. Une forme de sous-traitance s’est installée entre les développeurs des virus, ceux qui pénètrent un système informatique cible et ceux qui négocient la rançon. Les affiliés de REvil auraient mis la main sur près de 200 millions de dollars au total.

Schéma de l'ANSSI sur les répartitions possibles des tâches dans l'écosystème cybercriminel. Crédit : Rapport "Etat de la menace rançongiciel"

Dans cette cascade d’arrestation, les États-Unis ont mis la main sur l’une de leur cible, un jeune ukrainien de 22 ans, Yaroslav Vasinskyi. Il est accusé d’avoir mené l’attaque contre Kaseya début juillet 2021. Cette attaque a touché 1 500 entreprises pour une rançon réclamée de 70 millions de dollars. Il a été arrêté à la frontière polonaise le 8 octobre grâce à un mandat d’arrêt international.

En bonus, les États-Unis ont saisi 6 millions de dollars en cryptomonnaies à un autre affilié REvil, un russe de 28 ans, Evgueni Polyanin, toujours dans la nature. Le département du Trésor a également sanctionné Chatex, bourse d’échange de cryptomonnaies et trois autres entreprises liées, accusées de faciliter le blanchiment de l’argent des rançons.

Une opération présentée aux médias par Merrick Garland, procureur général des États-Unis, l’équivalent du ministre de la Justice. Une démonstration concrète de la réponse donnée par le pays au fléau des rançongiciels. Ce dernier a déclaré « L'arrestation de Vasinskyi démontre la rapidité avec laquelle nous agirons aux côtés de nos partenaires internationaux pour identifier, localiser et appréhender les cybercriminels présumés, où qu'ils se trouvent ».

L’Europe n’est pas en reste dans la guerre contre REvil

Plus récemment, les autorités roumaines ont arrêté deux individus également accusés d’être affiliés à REvil. Ils seraient à l’origine de 5 000 tentatives d’attaques et d’avoir touché environ 500 000 euros de rançons. Une opération menée en présence d’enquêteurs français.

La France a monté une enquête conjointe avec la Roumanie, l’Allemagne, Europol et Eurojust à partir de mai 2021 contre les affiliés REvil. L’opération s’est appuyée sur les précédentes investigations lancées en 2018 par la Roumanie, les États-Unis, le Royaume-Uni et Europol contre le groupe GandCrab dont REvil « est considérée comme le successeur ».

Trois policiers de dos dans une petite pièce

Les enquêteurs roumains, français et d'Europol, lors de l'arrestation de l'un des suspects. Image : Europol.

Enfin, trois affiliés de REvil ou GandCrab ont été arrêtés en Corée du Sud en février, avril et octobre 2021. Le même mois les autorités du Koweït ont également arrêté un dernier affilié de GandCrab.

Europol a salué les « efforts conjoints des services répressifs internationaux pour identifier, mettre sur écoute et saisir une partie de l'infrastructure utilisée par la famille de rançongiciel Sodinokibi/REvil ».

Un groupe de rançongiciel en chasse un autre

REvil en lui-même était en fin de vie. Il avait disparu des radars en juillet, à la suite de l’attaque contre Kaseya. Une tentative de résurrection du groupe REvil en septembre a tourné court. Son repreneur a réalisé qu’il était pisté par les autorités américaines et au moins un pays européen, probablement lié à l’opération GoldDust.

Ces opérations ne vont pas mettre fin aux rançongiciels, c’est une certitude. Néanmoins, ce sont des démonstrations de forces importantes, démontrant à la fois la détermination des États à agir et l’absence d’impunité pour les auteurs des attaques.