Les gouvernements mettent le gang du rançongiciel REvil hors ligne

Des responsables américains évoquent l'attaque du ransomware Colonial Pipeline lors d'une conférence de presse à Washington, D.C. le 7 juin 2021. (Reuters/Archive Photo)
Des responsables américains évoquent l'attaque du ransomware Colonial Pipeline lors d'une conférence de presse à Washington, D.C. le 7 juin 2021. (Reuters/Archive Photo)
Des responsables américains évoquent l'attaque du ransomware Colonial Pipeline lors d'une conférence de presse à Washington, D.C. le 7 juin 2021. (Reuters /Archive Photo)
Des responsables américains évoquent l'attaque du ransomware Colonial Pipeline lors d'une conférence de presse à Washington, D.C. le 7 juin 2021. (Reuters /Archive Photo)
Short Url
Publié le Vendredi 22 octobre 2021

Les gouvernements mettent le gang du rançongiciel REvil hors ligne

  • Les cyberspécialistes des forces de l'ordre et du renseignement ont pu pirater l'infrastructure du réseau informatique de REvil, obtenant ainsi le contrôle d’un certain nombre de leurs serveurs
  • Une personne proche du dossier déclare qu'un partenaire étranger du gouvernement américain a effectué l'opération de piratage de l'architecture informatique de REvil

Le groupe de ransomware REvil a lui-même été piraté et mis hors ligne cette semaine par une opération menée dans plusieurs pays, selon trois cyberexperts du secteur privé travaillant avec les États-Unis et un ancien responsable.

D'anciens partenaires et associés du gang criminel dirigé par la Russie étaient responsables d'une cyberattaque sur le pipeline Colonial en mai qui a entraîné une pénurie généralisée de gaz sur la côte est des États-Unis. Parmi les victimes directes de REvil, on compte le grand emballeur de viande JBS. Le site Web «Happy Blog» du groupe criminel, utilisé pour divulguer des données sur les victimes et extorquer des entreprises, n'est plus disponible.

Les responsables déclarent que l'attaque sur le pipeline Colonial utilisait un logiciel de cryptage appelé «DarkSide», développé par les associés de REvil.

Le responsable de la stratégie de cybersécurité de VMware, Tom Kellermann, indique que les forces de l'ordre et les services de renseignement ont empêché le groupe d’attaquer d'autres entreprises.

«Le FBI, en collaboration avec le Cyber Command, les services secrets et des pays partageant les mêmes idées, se sont véritablement engagés dans des actions perturbatrices importantes contre ces groupes», déclare Tom Kellermann, conseiller des services secrets américains sur les enquêtes sur la cybercriminalité. «REvil était en tête de liste.»

Une personnalité de la direction connue sous le nom de «0_neday», qui avait contribué à relancer les opérations du groupe après une précédente fermeture, précise que les serveurs de REvil ont été piratés par une partie non identifiée.

«Le serveur a été compromis et ils me cherchaient», a écrit 0_neday sur un forum sur la cybercriminalité le week-end dernier et repéré pour la première fois par la société de sécurité Recorded Future. «Bonne chance à tous; je pars.»

Les tentatives du gouvernement américain pour arrêter REvil, l'un des pires gangs de ransomware («rançongiciel») parmi les dizaines qui travaillent avec des pirates pour pénétrer et paralyser des entreprises du monde entier, se sont accélérées après que le groupe a compromis la société américaine de gestion de logiciels Kaseya en juillet.

Cette brèche a ouvert l'accès à des centaines de clients de Kaseya à la fois, ce qui a conduit à de nombreux appels d'urgence devant la multiplication des cyberincidents.

Clé de décryptage

À la suite de l'attaque de Kaseya, le FBI a obtenu une clé de décryptage universelle qui permettait aux personnes infectées via Kaseya de récupérer leurs fichiers sans payer de rançon.

Mais les responsables de l'application des lois ont d'abord conservé la clé pendant des semaines alors qu'ils poursuivaient discrètement les membres de REvil, a reconnu plus tard le FBI.

Selon trois personnes proches du dossier, des cyberspécialistes des forces de l'ordre et du renseignement ont réussi à pirater l'infrastructure du réseau informatique de REvil, obtenant ainsi le contrôle d’un certain nombre de leurs serveurs.

Après la mise hors ligne, en juillet, des sites Web que le groupe de pirates informatiques utilisait pour mener ses activités, le principal porte-parole du groupe, qui se fait appeler «Inconnu», a disparu d'Internet.

Lorsqu’un membre du gang 0_neday et d'autres ont restauré ces sites Web à partir d'une sauvegarde le mois dernier, ils ont redémarré sans le savoir certains systèmes internes qui étaient déjà contrôlés par les forces de l'ordre.

«Le gang de ransomware REvil a restauré l'infrastructure à partir des sauvegardes en supposant qu'elles n'avaient pas été compromises», déclare Oleg Skulkin, directeur adjoint de l'équipe chargée de la criminalistique numérique et de la réponse aux incidents chez Group-IB, dirigé par la Russie. «Paradoxalement, la tactique préférée du gang consistant à compromettre les sauvegardes s'est retournée contre eux.»

Des sauvegardes fiables constituent l'une des défenses les plus importantes contre les attaques de ransomware, mais elles doivent rester déconnectées des réseaux principaux faute de quoi elles peuvent également être cryptées par des extorqueurs tels que REvil.

Un porte-parole du Conseil de sécurité nationale de la Maison-Blanche a refusé de commenter spécifiquement l'opération.

«D'une manière générale, nous menons un effort gouvernemental global sur les ransomwares, notamment en perturbant l'infrastructure et les acteurs de ces derniers, en collaborant avec le secteur privé pour moderniser nos défenses et en créant une coalition internationale pour tenir les pays qui hébergent les acteurs des rançons responsables», déclare le porte-parole.

Le FBI a refusé de commenter.

Une personne proche du dossier déclare qu'un partenaire étranger du gouvernement américain a mené l'opération de piratage de l'architecture informatique de REvil. Un ancien responsable américain, qui a requis l'anonymat, déclare que l'opération est toujours en cours.

Ce succès s'explique par la détermination du sous-procureur général américain, Lisa Monaco, qui a estimé que les attaques de ransomware contre les infrastructures sensibles doivent être traitées comme un problème de sécurité nationale au même titre que le terrorisme, déclare M. Kellermann.

En juin, le sous-procureur général adjoint principal, John Carlin, a déclaré à Reuters que le ministère de la Justice donnait aux enquêtes sur les attaques de ransomware une priorité similaire.

Ces actions ont donné au ministère de la Justice et à d'autres agences une base légale pour obtenir l'aide des agences de renseignement américaines et du ministère de la Défense, souligne Tom Kellermann.

«Avant, vous ne pouviez pas pirater ces forums, et l'armée ne voulait pas s’en mêler. Depuis, les choses ont changé.»

 

Ce texte est la traduction d’un article paru sur Arabnews.com


Italie: le braconnage des dattes de mer, grave menace pour la côte

Au large de la côte rocheuse du sud-est de l'Italie, deux plongeurs de la police financière font des allers-retours dans les eaux bleues, sous le regard curieux des vacanciers. (AFP)
Au large de la côte rocheuse du sud-est de l'Italie, deux plongeurs de la police financière font des allers-retours dans les eaux bleues, sous le regard curieux des vacanciers. (AFP)
Short Url
  • La croissance de la datte de mer est très lente, il lui faut trois décennies pour atteindre seulement cinq centimètres, ce qui signifie qu'une fois pêchée elle n'est pas vite remplacée
  • Il y a trente ans, le biologiste marin Stefano Piraino et ses collègues ont découvert que plus de 40% de la côte ouest des Pouilles était gravement endommagée par la récolte des dattes de mer

MONOPLI: Au large de la côte rocheuse du sud-est de l'Italie, deux plongeurs de la police financière font des allers-retours dans les eaux bleues, sous le regard curieux des vacanciers.

Ils ne cherchent aucun trésor enfoui mais des preuves de la chasse aux moules connues comme dattes de mer, un mollusque interdit devenu un symbole de statut social et dont le braconnage détruit de manière irréversible les côtes italiennes.

Juste sous la surface, la roche calcaire qui abrite d'innombrables organismes est éventrée par des centaines de trous artificiels, preuve que des braconniers sans scrupules ont brisé, écrasé, voire dynamité le récif pour en extraire les dattes de mer qui s'y trouvent.

"Ces hommes mettent leurs bouteilles d'oxygène et leurs masques, descendent... avec un marteau et un burin et commencent à casser la roche", explique Arcangelo Raffaele Gennari, commandant de la police financière à Monopoli, ville portuaire des Pouilles. "Il y a des cas où nous avons saisi des mini-marteaux-piqueurs", ajoute-t-il à l'AFP, assurant que "même des explosifs ont été utilisés".

Ce qui alimente ce trafic, c'est la flambée des prix atteints sur le marché noir pour la modeste "Lithophaga lithophaga" brune, qui peut coûter près de 200 euros (205 dollars) le kilo.

Les braconniers approvisionnent les marchés aux poissons ou les propriétaires de restaurants qui vendent au noir à tous ceux voulant exhiber leur richesse lors des déjeuners dominicaux avec un plateau de fruits de mer crus ou des spaghettis spéciaux.

"Si vous pensez qu'en une heure et demie ou deux, si vous trouvez le bon endroit, vous arrivez à sortir huit ou neuf kilos... vous avez gagné une somme d'argent exorbitante en une journée", indique M. Gennari.

Des récifs dénudés 

Il y a trente ans, le biologiste marin Stefano Piraino et ses collègues ont découvert que plus de 40% de la côte ouest des Pouilles était gravement endommagée par la récolte des dattes de mer.

Pour cette raison l'Italie a interdit en 1998 la collecte, la vente et la consommation de ces moules, suivie en 2006 d'une interdiction à l'échelle européenne.

Retournant cette année dans les mêmes zones, M. Piraino a jusqu'à présent trouvé moins de sites présentant des dommages récents, mais a peu d'espoir pour les récifs déjà détruits.

Le temps ne suffit pas à guérir la surface rocheuse "toute blanche, dénudée" et dépourvue de vie, a-t-il déclaré : "C'est un impact dévastateur".

La croissance de la datte de mer est très lente, il lui faut trois décennies pour atteindre seulement cinq centimètres, ce qui signifie qu'une fois pêchée elle n'est pas vite remplacée.

Mais l'impact sur le délicat écosystème marin, où non seulement le récif mais tous les organismes qui en dépendent sont détruits, est encore plus grave.

Une étude réalisée en 2019 par l'université Parthenope de Naples a révélé une moyenne de 1.500 trous artificiels par mètre carré dans les récifs du sud-ouest de la péninsule de Sorrente, des dommages qui finissent par provoquer l'effondrement de la roche et endommager les fonds marins.

Les chercheurs étudient les moyens d'aider les récifs à se reconstituer, notamment en éliminant les oursins, dont le broutage empêche la nouvelle végétation de pousser sur les rochers, ou en plantant des semis de minuscules organismes dans l'espoir qu'ils se propagent.

Mais le problème ne se limite pas à l'Italie, a averti M. Piraino, qui a appelé à mieux appliquer les règles dans toute la Méditerranée.

Une recherche sur TripAdvisor a permis de trouver des dattes de mer montrées sur des photos de l'année dernière dans des restaurants d'Albanie, de Slovénie et du Monténégro, où elles sont également illégales mais plus faciles à trouver.

Désastre environnemental 

En mars, des groupes de défense de l'environnement ont salué la condamnation à six ans de prison du chef d'un réseau criminel opérant dans des zones protégées près de Naples et de l'île de Capri - la toute première condamnation pour le crime de "désastre environnemental" lié aux dattes de mer, jugeant que ce braconnage "a un impact irréversible" sur l'écosystème.

Les autorités se montrent de plus en plus sévères à l'égard de chaque maillon de la chaîne, des pêcheurs aux consommateurs.

L'année dernière, les Pouilles ont saisi environ 97 tonnes de fruits de mer illégaux, dont des dattes de mer, soit les plus importantes saisies en Italie, selon le groupe environnemental Legambiente.

La plupart des infractions de pêche illégale se produisent en Sicile, dans les Pouilles et en Campanie.

Mais les autorités ne peuvent pas gagner la bataille tant qu'il existe un marché de consommateurs consentants.

"Nous devons faire comprendre que lorsque vous mangez une assiette de linguini avec des datte de mer, c'est un mètre carré entier d'écosystème qui a été détruit", conclut M. Piraino.


L'ancien président du Sri Lanka est arrivé en Thaïlande

Un Boeing 787 Dreamliner de la compagnie aérienne saoudienne à destination de Singapour et transportant le président en fuite du Sri Lanka Gotabaya Rajapaksa, sa femme et deux gardes du corps se prépare à décoller à l'aéroport international de Velana à Malé le 14 juillet 2022. (Photo par AFP)
Un Boeing 787 Dreamliner de la compagnie aérienne saoudienne à destination de Singapour et transportant le président en fuite du Sri Lanka Gotabaya Rajapaksa, sa femme et deux gardes du corps se prépare à décoller à l'aéroport international de Velana à Malé le 14 juillet 2022. (Photo par AFP)
Short Url
  • Le leader déchu a atterri en jet privé à l'aéroport international de Don Mueang vers 20h00 (1200 GMT), a indiqué un haut fonctionnaire thaïlandais
  • Il a quitté la section VIP de l'aéroport environ 40 minutes plus tard avec son épouse et est monté dans une berline noire, ont rapporté les médias locaux

BANGKOK: L'ancien président du Sri Lanka Gotabaya Rajapaksa est arrivé jeudi à Bangkok après l'expiration de son visa à Singapour, où il s'était réfugié après avoir fui son palais envahi par des manifestants.

Le leader déchu a atterri en jet privé à l'aéroport international de Don Mueang vers 20h00 (1200 GMT), a indiqué un haut fonctionnaire thaïlandais.

Il a quitté la section VIP de l'aéroport environ 40 minutes plus tard avec son épouse et est monté dans une berline noire, ont rapporté les médias locaux.

"En tant que détenteur d'un passeport diplomatique sri lankais, l'ancien président peut entrer en Thaïlande sans visa pour une période de 90 jours (...). Le séjour est temporaire avec l'intention d'effectuer un autre trajet (pour quitter la Thaïlande, ndlr). Aucun asile politique n'a été demandé", avait indiqué un porte-parole du ministère des Affaires étrangères dans un communiqué transmis à la presse.

Gotabaya Rajapaksa a fui le Sri Lanka le 9 juillet après la prise d'assaut de sa résidence officielle par des dizaines de milliers de manifestants exaspérés par la grave crise économique que traverse le pays.

Après une escale aux Maldives, il est arrivé à Singapour le 14 juillet, d'où il a présenté sa démission. Son visa de quatorze jours a été prolongé une fois par les autorités locales, jusqu'au 11 août.

"Il a demandé une nouvelle extension, mais il n'a pas eu de réponse mercredi matin", a indiqué à l'AFP depuis Colombo un proche de l'ancien président.

Son plan serait désormais de retourner à Singapour après un séjour de courte durée en Thaïlande, selon cette source.

L'AFP n'a pas pu joindre l'ambassade srilankaise à Singapour, qui a soutenu le projet de Gotabaya Rajapaksa de prolonger son séjour dans la cité-État.

Le leader déchu, âgé de 73 ans, serait prêt à retourner au pays, alors que les protestions contre son pouvoir se sont atténuées, mais son successeur Ranil Wickremesinghe lui a déconseillé de retourner si tôt, a expliqué à l'AFP l'un de ses proches.


L'Ethiopie dit avoir terminé la 3e phase du remplissage de son mégabarrage

Dans ce dossier photo prise le 19 février 2022 Cette vue générale montre le Grand barrage de la Renaissance éthiopienne (GERD) à Guba, en Éthiopie. (AFP)
Dans ce dossier photo prise le 19 février 2022 Cette vue générale montre le Grand barrage de la Renaissance éthiopienne (GERD) à Guba, en Éthiopie. (AFP)
Short Url
  • L'Ethiopie a annoncé vendredi avoir achevé avec succès la 3e phase du remplissage du réservoir de son mégabarrage sur le Nil-Bleu
  • La hauteur de l'eau dans le réservoir atteint désormais 600 m, soit 25m de plus qu'à l'issue de la 2e phase du remplissage à la même époque l'an dernier

ADDIS ABEBA: L'Ethiopie a annoncé vendredi avoir achevé avec succès la 3e phase du remplissage du réservoir de son mégabarrage sur le Nil-Bleu, en dépit des protestations du Soudan et de l'Egypte, riverains du Nil en aval.

"Ce que vous voyez derrière moi, c'est le 3e remplissage terminé", a annoncé le Premier ministre Abiy Ahmed dans un discours télévisé depuis le Grand barrage de la Renaissance éthiopienne (Gerd), situé dans le nord-ouest du pays, et présenté comme le plus grand d'Afrique.

La hauteur de l'eau dans le réservoir atteint désormais 600 m, soit 25m de plus qu'à l'issue de la 2e phase du remplissage à la même époque l'an dernier, a-t-il précisé.

"Le Nil est un cadeau que Dieu nous a offert pour que les Ethiopiens l'utilisent", a poursuivi M. Abiy, répondant implicitement aux critiques du Soudan et de l'Egypte. "Ceux qui n'assument pas les responsabilités qui leur ont été confiées sont critiquables".

Soudan et Egypte ont plusieurs fois demandé à l'Ethiopie de cesser ses opérations de remplissage du Gerd, en attendant la conclusion d'un accord tripartite sur ce sujet et sur les modalités de fonctionnement du barrage.

Tributaires du Nil, les deux pays affirment que ce mégabarrage, d'une puissance annoncée de plus de 5 000 mégawatts (MW) à terme et une capacité de retenue de 74 milliards de m3, va nuire à leur approvisionnement en eau.

Fin juillet, l'Egypte avait protesté auprès du Conseil de sécurité de l'ONU contre l'intention annoncée de l'Ethiopie de poursuivre "unilatéralement" durant la saison des pluies en cours le remplissage du réservoir entamé en juillet 2020, ce malgré l'absence d'accord entre les trois pays concernés par le sujet.

Jeudi, M. Abiy a démarré la deuxième turbine - sur les 13 prévues - de ce barrage qui doit permettre de doubler la production électrique actuelle de l'Ethiopie.