Le FBI met hors ligne le gang de rançongiciel REvil

Le FBI met hors ligne le gang de rançongiciel REvil
Cybercriminalité

L’un des plus importants gangs de rançongiciel du monde, REvil, responsable des attaques contre Colonial Pipeline, JBS ou Kaseya, et dirigé par des Russes, a été lui-même piraté et mis hors ligne, par l’action conjointe de trois pays, du Cybercommand américain et du FBI.

Reuters annonce, ce 21 octobre 2021, la déconnexion (définitive ?) de REvil, l’un des plus importants gangs de rançongiciels mondiaux. Mené par des hackers russes, ce groupe de cybercriminels a piloté quelques-unes des attaques les plus spectaculaires de l’année 2021.

REvil mis hord ligne une première fois en juillet 2021

REvil est ainsi responsable, via le rançongiciel Darkside, de l’offensive contre Colonial Pipeline, qui avait provoqué une pénurie de gaz naturel dans tout l’Est des Etats-Unis, ou contre le fabricant de viande JBS. Mais l’attaque qui a le plus marqué les esprits (et entraîné indirectement la chute du gang) est celle du gestionnaire de logiciel américain Kaseya, en juillet 2021.

REvil a ainsi bloqué des centaines d’utilisateurs de Kaseya, mais le FBI est parvenu à obtenir une clé de déchiffrement universelle, qui a permis de déverrouiller tous les ordinateurs attaqués. Dans l’opération, les cyber-spécialistes des forces de l’ordre et du renseignement américain, soutenu par deux autres pays, sont parvenu à pirater l’infrastructure du réseau informatique de REvil et prendre le contrôle d’au moins certains de ses serveurs.

Ce même mois de juillet 2021, les forces de l’ordre ont mis une première fois hors ligne les serveurs de REvil, provoquant la disparition d’Internet du principal porte-parole du gang, Inconnu.

« Ironiquement, la tactique favorite du gang, qui consistait à compromettre les sauvegardes, s’est retournée contre lui »

Mais, en septembre 2021, des membres de REvil, dont l’un de ses leaders connu sous le nom de 0_neday, ont redémarré leurs serveurs à partir d’une sauvegarde, dont certains éléments restaient contrôlés par les forces de l’ordre.

« REvil a restauré les infrastructures à partir des sauvegardes en partant du principe qu’elles n’avaient pas été compromises. Ironiquement, la tactique favorite du gang, qui consistait à compromettre les sauvegardes, s’est retournée contre lui », pointe Oleg Skulkin, directeur adjoint du laboratoire de criminalistique de la société de sécurité russe Group-IB.

Pour les Etats-Unis, lutter contre les rançongiciels attaquant les infrastructures critiques est aussi important que lutter contre le terrorisme

0_neday a immédiatement indiqué qu’il disparaissait à son tour dans la nature. Tom Kellermann, responsable de la stratégie de cybersécurité de VMWare s’est félicité que cette action coordonnées du « FBI, en collaboration avec le Cyber Command, les services secrets et des pays partageant les mêmes idées » ait permis de mettre REvil hors ligne, tout en indiquant que la lutte contre les gangs de rançongiciel se poursuivait.

Cette opération est représentative de la nouvelle stratégie US sur cette question. Mi-2021, Lisa Monaco, procureur général adjoint des Etats-Unis, avait ainsi affirmé que « les attaques par ransomware contre les infrastructures critiques devaient être traitées comme un problème de sécurité nationale au même titre que le terrorisme ».