En fin de semaine dernière, le Federal Security Service (FSB) a annoncé les arrestations de personnes suspectées de faire partie du groupe de ransomware REvil. Avec la police russe, des perquisitions ont été menées à 25 adresses de 14 personnes à Moscou, Saint-Pétersbourg et aux alentours de Lipetsk.
Les perquisitions ont abouti à la saisie de 426 millions de roubles (près de 4,9 millions d'euros), y compris en cryptomonnaies, 600 000 dollars américains, 500 000 euros, du matériel informatique, des portefeuilles de cryptomonnaies et une vingtaine de voitures de luxe.
Selon les services de renseignement russes qui évoquent l'identification complète du gang criminel REvil et son démantèlement, l'opération - musclée - fait suite à une demande des autorités américaines qui ont été informées des résultats obtenus.
Les États-Unis ont salué les arrestations. Cité par Reuters, un responsable de l'administration américaine a ajouté : " Nous comprenons que l'un des individus arrêtés était responsable de l'attaque contre Colonial Pipeline au printemps dernier. "
Des affiliés de REvil avaient travaillé avec le groupe de ransomware DarkSide (ultérieurement devenu BlackMatter) pour attaquer Colonial Pipeline et paralyser pendant plusieurs jours les activités de l'un des plus importants oléoducs des États-Unis.
Plusieurs arrestations visant REvil et des affiliés avaient déjà été annoncées fin 2021, notamment par Europol. Le département de la Justice des États-Unis avait également révélé l'arrestation et l'inculpation d'un individu de nationalité ukrainienne présenté comme le responsable de l'attaque par ransomware REvil ayant frappé les serveurs de Kaseya en juillet.
Une diplomatie russe du ransomware ?
L'infrastructure de REvil avait connu un coup d'arrêt estival, avant de refaire surface en septembre. En collaboration avec la cyberarmée américaine et les services secrets, ainsi que les forces de l'ordre d'autres pays, le FBI aurait pénétré l'infrastructure de REvil et obtenu le contrôle de serveurs.
Les États-Unis puis le G7 ont fait pression sur la Russie dans la lutte contre la menace des réseaux criminels de ransomware. Elle donne soudainement lieu à des résultats… alors que l'Ukraine suspecte une implication russe dans une vaste cyberattaque l'ayant touché.
This is Russian ransomware diplomacy. It is a signal to the United States - if you don’t enact severe sanctions against us for invasion of Ukraine, we will continue to coooperate with you on ransomware investigations.
— Dmitri Alperovitch (@DAlperovitch) January 14, 2022
I suspect the US government will not bite https://t.co/5ZlZl9yAJx
Cofondateur et ancien directeur technique de l'entreprise de cybersécurité CrowdStrike, Dmitri Alperovith parle d'une diplomatie russe du ransomware. " Il s'agit d'un signal adressé aux États-Unis. Si vous n'adoptez pas de sanctions sévères à notre encontre pour l'invasion de l'Ukraine, nous continuerons à coopérer avec vous dans le cadre des enquêtes sur les ransomwares. "
