Ransomware : GoldDust remporte la mise, face à REvil

Quelque 150 personnes qui achetaient, ou vendaient de la drogue, ou des armes sur le DarkWeb ont été appréhendées dans le monde entier, lors de l’un des plus amples coups de filet à ce jour concernant la version profonde d’Internet, a annoncé Europol, mardi 26 octobre. La dernière opération d’Europol, GoldDust a permis d’arrêter pas moins de sept individus, mais pas des moindres dans l’Univers du ransomware, Sodinokibi/REvil.

Comme une pieuvre étend ses bras, l’opération « DarkHunTOR » « consistait en une série d’actions séparées, mais complémentaires en Australie, Bulgarie, France, Allemagne, Italie, aux Pays-Bas, en Suisse, au Royaume-Uni et aux États-Unis », précisait l’agence. Aux États-Unis, quelques 65 personnes ont été capturés légitimant, entre autres, 47 en Allemagne, 24 au Royaume-Uni, quatre en Italie et autant aux Pays-Bas. Plusieurs « constituaient des cibles d’importance » pour Europol. Les forces de l’ordre ont également saisi 26,7 millions d’euros en numéraire et monnaies électroniques ainsi que de la drogue, notamment 25 000 comprimés d’ecstasy, et 45 armes à feu.

150 suspects ont été arrêtés dans le cadre de l’opération visant les vendeurs et les acheteurs de biens illicites sur le . (Crédits : Europol)

Le 4 novembre 2021, les autorités roumaines ont capturé deux individus soupçonnés d’infections par codes malveillants en déployant le ransomware Sodinokibi/REvil. Ils seraient, selon Europol, responsables de 5 000 infections, et auraient empoché pas moins d’un demi-million d’euros de rançons. Depuis février 2021, les forces de l’ordre ont appréhendé trois autres affiliés de Sodinokibi/REvil, et deux suspects liés à « GandCrab ». Ce sont là quelques-uns des résultats de l’opération GoldDust, qui a impliqué 17 pays (Australie, Belgique, Canada, France, Allemagne, Pays-Bas, Luxembourg, Norvège, Philippines, Pologne, Roumanie, Corée du Sud, Suède, Suisse, Koweït, Royaume-Uni, États-Unis), Europol, Eurojust et INTERPOL. « Toutes ces arrestations font suite aux efforts conjoints des services répressifs internationaux pour identifier, mettre sur écoute et saisir une partie de l’infrastructure utilisée par la famille de ransomware Sodinokibi/REvil, qui est considérée comme le successeur de GandCrab. »

C’est l’infection de plus d’un million de victimes, et jusqu’à 1500 entreprises, par le ransomware « REvil/Sodinokibi » qui faisait la une des différentes presses, qu’elles soient en version papier, web, radiophonique ou télévisuelle, le 5 juillet 2021. (Crédits : DR)

Depuis 2019, plusieurs firmes planétaires ont été confrontées à de graves cyberattaques, à travers le ransomware Sodinokibi/REvil. Début octobre, un affilié de Sodinokibi/REvil a été arrêté à la frontière polonaise après l’émission d’un mandat d’arrêt international par les États-Unis. Ce ressortissant ukrainien est soupçonné d’avoir perpétré l’offensive Kaseya, pour laquelle Sodinokibi/REvil a demandé une rançon d’environ 70 millions d’euros. En février, avril et octobre 2021, les autorités sud-coréennes ont capturé trois affiliés impliqués dans les clans de ransomware GandCrab et Sodinokibi/REvil, qui ont fait plus de 1 500 victimes. Le 4 novembre 2021, c’est au tour des autorités koweïtiennes d’arrêter un autre affilié de GandGrab, « ce qui signifie qu’au total, sept suspects liés aux deux familles de ransomware ont été arrêtés depuis février 2021. Ils sont soupçonnés d’avoir attaqué environ 7 000 victimes au total ».

De GrandCrab à Sodinokibi/REvil

Un pic d’activité d’infections par ransomware avait été détecté lors des deux premiers trimestres 2020. « Il est lié à un groupe appelé GrandCrab, dont l’activité a été réduite depuis l’arrestation de son distributeur en Biélorussie en août 2020. Un deuxième pic a été constaté en juillet 2021, lié au groupe de ransomware Babuk, à l’origine d’une cyberattaque contre la police du District de Columbia aux États-Unis », explique Sud Ouest. En effet, les autorités biélorusses venaient de capturer une personne de 31 ans accusée d’avoir commercialisé le rançongiciel GandCrab. L’homme avait été arrêté à Gomel, une petite ville du sud-est de la Biélorussie, aux frontières de la Russie et de l’Ukraine.

Ce ressortissant ukrainien est soupçonné d’avoir perpétré l’attaque Kaseya. « On peut raisonnablement supposer que des milliers de petites entreprises pourraient potentiellement être impactées », affirmait en juillet 2021 à NBC News l’expert en sécurité John Hammond. (Crédits : Europol/Twitter)

Mais, l’agence européenne soutient une enquête menée par la Roumanie ciblant la famille de ransomwares GandCrab. Avec plus d’un million de victimes dans le monde, GandCrab était l’une des familles de ransomware les plus prolifiques sur Terre. Ces efforts conjoints ont abouti à la publication de trois outils de décryptage par le biais du projet No More Ransom. Cela a permis de sauver plus de 49 000 systèmes d’information et plus de 60 millions d’euros de rançons non payées à ce jour. L’enquête a parallèlement porté sur les affiliés de GandCrab, dont certains auraient évolué vers Sodinokibi/REvil. L’opération GoldDust s’est également appuyée sur les pistes de cette précédente enquête visant GandCrab, assure Europol.

Les outils mis à disposition pour les deux familles de ransomware ont permis plus de 50 000 décryptages, qui représentaient une rançon de 520 millions d’euros demandée par les cybercriminels. (Crédits : capture d’écran)

Actuellement, No More Ransom bénéficie d’outils de décryptage pour GandCrab (versions V1, V4 et V5 jusqu’à V5.2) et pour Sodinokibi/REvil. Les méthodes de décryptage de Sodinokibi/REvil ont aidé plus de 1400 entreprises à déchiffrer leurs réseaux, épargnant près d’un demi-milliard (0, 475) d’euros de pertes potentielles.

Fidel Plume

Équilibriste des mots, j'aime à penser qu'il existe un trésor au pied de chaque arc-en-ciel. Un sourire éclaire la journée de la personne qui le reçoit. Elizabeth Goudge disait : « La gratitude va de pair avec l'humilité comme la santé avec l'équilibre. »

Une réflexion sur “Ransomware : GoldDust remporte la mise, face à REvil

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *