Vendredi 14 janvier 2022, les services de renseignement russes (FSB) ont confirmé avoir mené une opération contre le célèbre groupe cybercriminel REvil. Des arrestations exigées par les États-Unis, pour stopper l’un des plus importants réseaux criminels dans le monde, pratiquant les attaques par rançongiciel.

La fin du règne pour REvil ?

Le FSB précise qu’au moment des perquisitions, 426 millions de roubles (4,9 millions d’euros), 600 000 dollars et 500 000 euros ont été saisis, ainsi que des portefeuilles de cryptomonnaies et une vingtaine de voitures de luxe. Les services de renseignement russes affirment que l’intégralité du groupe cybercriminel aurait été démantelé.

La Russie précise que l’enquête et les arrestations ont été diligentées par les autorités américaines compétentes. Une coopération inédite entre les deux grandes puissances mondiales, pour mettre fin aux actions d’un réseau cybercriminel extrêmement actif. L’administration américaine s’est dite satisfaite des résultats de cette enquête.

REvil était un groupe cybercriminel très recherché. Les hackers russophones faisant partie de cette organisation ont fait plusieurs victimes très importantes. On pense par exemple à Quanta, un sous-traitant d’Apple, ou encore la filiale américaine du groupe brésilien du secteur de la viande JBS. Ce n’est pas tout, le logiciel DarkSide, développé par des associés de REvil a été utilisé pour le piratage de Colonial Pipeline en mai 2021

Un travail de longue haleine

À l’automne, de premières arrestations de hackers liés au groupe REvil avaient eu lieu dans le cadre de l’opération GoldDust impliquant 17 pays, dont la France, ainsi qu’Interpol, Europol et Eurojust. À l’époque, Yaroslav Vasinskyi, un jeune ukrainien de 22 ans particulièrement recherché pour avoir mené l’attaque contre Kaseya début juillet 2021, avait été arrêté. Dans le cadre de cette opération, le jeune pirate avait réclamé 58 millions d’euros.

Dans le même temps, un autre Ukrainien, Evgeniy Igorevich Polyanin, avait également été inculpé, sans être arrêté. Il est soupçonné d’avoir mené, en 2019, une attaque contre près de 40 municipalités du Texas. Quelques semaines avant ces premières arrestations, les autorités américaines avaient mené une cyberattaque contre REvil.

À l’époque, Tom Kellermann, responsable de la stratégie de cybersécurité de VMWare expliquait que « le FBI, en collaboration avec le Cyber Command, les services secrets et des pays partageant les mêmes idées, a mené des actions perturbatrices importantes contre ces groupes cybercriminels ». La Maison-Blanche avait refusé de commenter car l’opération était toujours en cours. Aujourd’hui, REvil semble bel et bien à terre.