Les gouvernements mettent le gang du rançongiciel REvil hors ligne

Des responsables américains évoquent l'attaque du ransomware Colonial Pipeline lors d'une conférence de presse à Washington, D.C. le 7 juin 2021. (Reuters/Archive Photo)
Des responsables américains évoquent l'attaque du ransomware Colonial Pipeline lors d'une conférence de presse à Washington, D.C. le 7 juin 2021. (Reuters/Archive Photo)
Des responsables américains évoquent l'attaque du ransomware Colonial Pipeline lors d'une conférence de presse à Washington, D.C. le 7 juin 2021. (Reuters /Archive Photo)
Des responsables américains évoquent l'attaque du ransomware Colonial Pipeline lors d'une conférence de presse à Washington, D.C. le 7 juin 2021. (Reuters /Archive Photo)
Short Url
Publié le Vendredi 22 octobre 2021

Les gouvernements mettent le gang du rançongiciel REvil hors ligne

  • Les cyberspécialistes des forces de l'ordre et du renseignement ont pu pirater l'infrastructure du réseau informatique de REvil, obtenant ainsi le contrôle d’un certain nombre de leurs serveurs
  • Une personne proche du dossier déclare qu'un partenaire étranger du gouvernement américain a effectué l'opération de piratage de l'architecture informatique de REvil

Le groupe de ransomware REvil a lui-même été piraté et mis hors ligne cette semaine par une opération menée dans plusieurs pays, selon trois cyberexperts du secteur privé travaillant avec les États-Unis et un ancien responsable.

D'anciens partenaires et associés du gang criminel dirigé par la Russie étaient responsables d'une cyberattaque sur le pipeline Colonial en mai qui a entraîné une pénurie généralisée de gaz sur la côte est des États-Unis. Parmi les victimes directes de REvil, on compte le grand emballeur de viande JBS. Le site Web «Happy Blog» du groupe criminel, utilisé pour divulguer des données sur les victimes et extorquer des entreprises, n'est plus disponible.

Les responsables déclarent que l'attaque sur le pipeline Colonial utilisait un logiciel de cryptage appelé «DarkSide», développé par les associés de REvil.

Le responsable de la stratégie de cybersécurité de VMware, Tom Kellermann, indique que les forces de l'ordre et les services de renseignement ont empêché le groupe d’attaquer d'autres entreprises.

«Le FBI, en collaboration avec le Cyber Command, les services secrets et des pays partageant les mêmes idées, se sont véritablement engagés dans des actions perturbatrices importantes contre ces groupes», déclare Tom Kellermann, conseiller des services secrets américains sur les enquêtes sur la cybercriminalité. «REvil était en tête de liste.»

Une personnalité de la direction connue sous le nom de «0_neday», qui avait contribué à relancer les opérations du groupe après une précédente fermeture, précise que les serveurs de REvil ont été piratés par une partie non identifiée.

«Le serveur a été compromis et ils me cherchaient», a écrit 0_neday sur un forum sur la cybercriminalité le week-end dernier et repéré pour la première fois par la société de sécurité Recorded Future. «Bonne chance à tous; je pars.»

Les tentatives du gouvernement américain pour arrêter REvil, l'un des pires gangs de ransomware («rançongiciel») parmi les dizaines qui travaillent avec des pirates pour pénétrer et paralyser des entreprises du monde entier, se sont accélérées après que le groupe a compromis la société américaine de gestion de logiciels Kaseya en juillet.

Cette brèche a ouvert l'accès à des centaines de clients de Kaseya à la fois, ce qui a conduit à de nombreux appels d'urgence devant la multiplication des cyberincidents.

Clé de décryptage

À la suite de l'attaque de Kaseya, le FBI a obtenu une clé de décryptage universelle qui permettait aux personnes infectées via Kaseya de récupérer leurs fichiers sans payer de rançon.

Mais les responsables de l'application des lois ont d'abord conservé la clé pendant des semaines alors qu'ils poursuivaient discrètement les membres de REvil, a reconnu plus tard le FBI.

Selon trois personnes proches du dossier, des cyberspécialistes des forces de l'ordre et du renseignement ont réussi à pirater l'infrastructure du réseau informatique de REvil, obtenant ainsi le contrôle d’un certain nombre de leurs serveurs.

Après la mise hors ligne, en juillet, des sites Web que le groupe de pirates informatiques utilisait pour mener ses activités, le principal porte-parole du groupe, qui se fait appeler «Inconnu», a disparu d'Internet.

Lorsqu’un membre du gang 0_neday et d'autres ont restauré ces sites Web à partir d'une sauvegarde le mois dernier, ils ont redémarré sans le savoir certains systèmes internes qui étaient déjà contrôlés par les forces de l'ordre.

«Le gang de ransomware REvil a restauré l'infrastructure à partir des sauvegardes en supposant qu'elles n'avaient pas été compromises», déclare Oleg Skulkin, directeur adjoint de l'équipe chargée de la criminalistique numérique et de la réponse aux incidents chez Group-IB, dirigé par la Russie. «Paradoxalement, la tactique préférée du gang consistant à compromettre les sauvegardes s'est retournée contre eux.»

Des sauvegardes fiables constituent l'une des défenses les plus importantes contre les attaques de ransomware, mais elles doivent rester déconnectées des réseaux principaux faute de quoi elles peuvent également être cryptées par des extorqueurs tels que REvil.

Un porte-parole du Conseil de sécurité nationale de la Maison-Blanche a refusé de commenter spécifiquement l'opération.

«D'une manière générale, nous menons un effort gouvernemental global sur les ransomwares, notamment en perturbant l'infrastructure et les acteurs de ces derniers, en collaborant avec le secteur privé pour moderniser nos défenses et en créant une coalition internationale pour tenir les pays qui hébergent les acteurs des rançons responsables», déclare le porte-parole.

Le FBI a refusé de commenter.

Une personne proche du dossier déclare qu'un partenaire étranger du gouvernement américain a mené l'opération de piratage de l'architecture informatique de REvil. Un ancien responsable américain, qui a requis l'anonymat, déclare que l'opération est toujours en cours.

Ce succès s'explique par la détermination du sous-procureur général américain, Lisa Monaco, qui a estimé que les attaques de ransomware contre les infrastructures sensibles doivent être traitées comme un problème de sécurité nationale au même titre que le terrorisme, déclare M. Kellermann.

En juin, le sous-procureur général adjoint principal, John Carlin, a déclaré à Reuters que le ministère de la Justice donnait aux enquêtes sur les attaques de ransomware une priorité similaire.

Ces actions ont donné au ministère de la Justice et à d'autres agences une base légale pour obtenir l'aide des agences de renseignement américaines et du ministère de la Défense, souligne Tom Kellermann.

«Avant, vous ne pouviez pas pirater ces forums, et l'armée ne voulait pas s’en mêler. Depuis, les choses ont changé.»

 

Ce texte est la traduction d’un article paru sur Arabnews.com


Russie: le suicide apparent d'un ministre sème la peur au sein de l'élite

Roman Starovoït avait été gouverneur de la région russe de Koursk, frontalière de l'Ukraine, avant d'être promu ministre à Moscou en mai 2024, trois mois avant que les troupes ukrainiennes ne prennent le contrôle d'une petite partie de ce territoire lors d'une offensive surprise. Une attaque qui avait été un revers pour le Kremlin. (AFP)
Roman Starovoït avait été gouverneur de la région russe de Koursk, frontalière de l'Ukraine, avant d'être promu ministre à Moscou en mai 2024, trois mois avant que les troupes ukrainiennes ne prennent le contrôle d'une petite partie de ce territoire lors d'une offensive surprise. Une attaque qui avait été un revers pour le Kremlin. (AFP)
Short Url
  • Si les circonstances de la mort de Roman Starovoït, âgé de 53 ans, restent floues, les médias russes ont évoqué une enquête pour corruption le visant, assurant qu'il devait être arrêté prochainement
  • Limogé par le président Vladimir Poutine, il s'est probablement donné la mort, selon les premiers résultats de l'enquête, qui est en cours

SAINT-PETERSBOURG: Le suicide probable du ministre russe des Transports, Roman Starovoït, annoncé peu après son limogeage lundi par Vladimir Poutine sur fond d'allégations de corruption, a profondément choqué l'élite politique, où chacun redoute de faire les frais de la chasse aux profiteurs.

Ses funérailles ont eu lieu vendredi dans un cimetière de Saint-Pétersbourg en présence de sa famille et de collègues, mais en l'absence de M. Poutine qui n'a pas non plus participé à la cérémonie d'adieu jeudi.

Si les circonstances de la mort de Roman Starovoït, âgé de 53 ans, restent floues, les médias russes ont évoqué une enquête pour corruption le visant, assurant qu'il devait être arrêté prochainement.

Limogé par le président Vladimir Poutine, il s'est probablement donné la mort, selon les premiers résultats de l'enquête, qui est en cours.

"C'est une grande perte pour nous, très inattendue. Nous sommes tous choqués", a déclaré à l'AFP Vassilissa, 42 ans, l'épouse d'un collègue de M. Starovoït, lors de la cérémonie de jeudi.

"Il était tellement actif, joyeux, il aimait énormément la vie. Je ne comprends pas comment cela a pu arriver", ajoute cette femme, les larmes aux yeux.

Après avoir déposé devant le cercueil de grands bouquets de roses rouges, des anciens collègues de M. Starovoït, en costumes sombres, sont repartis très vite dans leurs luxueuses voitures noires.

Dans une ambiance très lourde rappelant les funérailles dans le film culte "Le Parrain" de Francis Ford Coppola, d'autres personnes interrogées par les journalistes de l'AFP dans la foule ont refusé de parler.

"Bouc émissaire" 

Roman Starovoït avait été gouverneur de la région russe de Koursk, frontalière de l'Ukraine, avant d'être promu ministre à Moscou en mai 2024, trois mois avant que les troupes ukrainiennes ne prennent le contrôle d'une petite partie de ce territoire lors d'une offensive surprise. Une attaque qui avait été un revers pour le Kremlin.

Son successeur à la tête de cette région, Alexeï Smirnov, a lui été arrêté au printemps pour le détournement des fonds destinés à renforcer les fortifications à la frontière. Celle-là même que les Ukrainiens ont traversé facilement, pour n'être repoussés que neuf mois plus tard.

Les autorités "ont essayé de faire de lui (Roman Starovoït) un bouc émissaire", accuse auprès de l'AFP Andreï Pertsev, analyste du média indépendant Meduza, reconnu "indésirable" et interdit en Russie.

L'incursion ukrainienne "s'est principalement produite parce qu'il n'y avait pas assez de soldats pour protéger la frontière", mais c'était "plus facile de rejeter la faute sur un responsable civil", explique-t-il.

L'affaire Starovoït s'inscrit dans une vague récente de répression visant de hauts responsables soupçonnés de s'être enrichis illégalement pendant l'offensive russe en Ukraine. Et selon des analystes, si les scandales de corruption on toujours existé en Russie, la campagne militaire a changé les règles du jeu politique.

"Il existait des règles auparavant, selon lesquelles les gens savaient: une fois qu'ils montaient suffisamment haut, on ne les embêtait plus", estime M. Pertsev. "Mais elles ne fonctionnent plus."

"On ne vole pas" 

Alors que Vladimir Poutine promettait régulièrement de s'attaquer à la corruption - étant lui même accusé de s'être enrichi illégalement par ses détracteurs -, les rares arrestations médiatisées ont été davantage utilisées pour cibler des opposants ou résultaient de luttes internes entre les échelons inférieurs du pouvoir en Russie.

Depuis l'offensive en Ukraine lancée en février 2022, "quelque chose dans le système a commencé à fonctionner de manière complètement différente", souligne la politologue Tatiana Stanovaïa du Centre Carnegie Russie Eurasie, interdit en Russie en tant qu'organisation "indésirable".

"Toute action ou inaction qui, aux yeux des autorités, accroît la vulnérabilité de l'État face aux actions hostiles de l'ennemi doit être punie sans pitié et sans compromis", estime Mme Stanovaïa en définissant la nouvelle approche du pouvoir.

Pour le Kremlin, la campagne en Ukraine est une "guerre sainte" qui a réécrit les règles, confirme Nina Khrouchtcheva, professeure à The New School, une université de New York, et arrière-petite-fille du dirigeant soviétique Nikita Khrouchtchev.

"Pendant une guerre sainte, on ne vole pas (...) on se serre la ceinture et on travaille 24 heures sur 24", résume-t-elle.

Signe des temps, plusieurs généraux et responsables de la Défense ont été arrêtés pour des affaires de détournement de fonds ces dernières années. Début juillet, l'ancien vice-ministre de la Défense Timour Ivanov a été condamné à 13 ans de prison.

Cette ambiance, selon Mme Stanovaïa, a créé un "sentiment de désespoir" au sein de l'élite politique à Moscou, qui est peu susceptible de s'atténuer.

"À l'avenir, le système sera prêt à sacrifier des figures de plus en plus en vue," avertit-elle.

 


Un trafic de stupéfiants démantelé entre Espagne et France, 13 arrestations

reize personnes, dont le "donneur d'ordres" présumé, ont été arrêtées par des policiers qui ont démantelé un "important" trafic de drogues importées d'Espagne pour alimenter la région Auvergne-Rhône-Alpes, au terme d'une enquête de près de deux ans, a annoncé vendredi la police. (AFP)
reize personnes, dont le "donneur d'ordres" présumé, ont été arrêtées par des policiers qui ont démantelé un "important" trafic de drogues importées d'Espagne pour alimenter la région Auvergne-Rhône-Alpes, au terme d'une enquête de près de deux ans, a annoncé vendredi la police. (AFP)
Short Url
  • 2,4 tonnes de résine de cannabis ont été saisies par les enquêteurs de Office anti-stupéfiants (OFAST) de la police judiciaire de Lyon, qui ont mené ces opérations
  • Dans cette première phase, les 11 suspects ont été mis en examen et sont, depuis, en détention provisoire, selon la DIPN

LYON: Treize personnes, dont le "donneur d'ordres" présumé, ont été arrêtées par des policiers qui ont démantelé un "important" trafic de drogues importées d'Espagne pour alimenter la région Auvergne-Rhône-Alpes, au terme d'une enquête de près de deux ans, a annoncé vendredi la police.

Onze suspects ont été interpellés entre décembre 2023 et juillet 2024, notamment grâce à l'interception par les policiers de deux poids-lourds et d'un convoi de voitures "entre la région lyonnaise et le Gard", "au moment où les stupéfiants étaient remis à des équipes locales", explique la Direction interdépartementale de la police (DIPN) du Rhône dans un communiqué.

Dans le même laps de temps, 2,4 tonnes de résine de cannabis ont été saisies par les enquêteurs de Office anti-stupéfiants (OFAST) de la police judiciaire de Lyon, qui ont mené ces opérations.

Dans cette première phase, les 11 suspects ont été mis en examen et sont, depuis, en détention provisoire, selon la DIPN.

Puis l'enquête a permis l'interpellation, le 30 juin dernier, d'un homme "soupçonné d'être le donneur d'ordres" et, le lendemain, d'un autre suspect, "fugitif condamné en 2016" à sept ans de prison pour trafic de stupéfiants. A son domicile dans l'Ain, "54 kg de cocaïne et plusieurs dizaines de milliers d'euros" ont été saisis, précise le communiqué qui n'en dit pas plus sur le profil de ces hommes. Ils ont été mis en examen le 4 juillet et placés en détention provisoire.

La police considère ainsi avoir réussi le "démantèlement de ce groupe criminel organisé (...) réalisant des importations de stupéfiants depuis l'Espagne vers la région Auvergne-Rhône-Alpes" pour des "quantités importantes".

 


Iran: la lauréate du prix Nobel de la Paix Mohammadi se dit «menacée d'élimination physique», selon le comité Nobel

La prix Nobel de la paix iranienne, Narges Mohammadi, dit avoir été "directement et indirectement menacée d'élimination physique" par les autorités iraniennes, a indiqué vendredi le comité Nobel qui s'est entretenu avec elle par téléphone. (AFP)
La prix Nobel de la paix iranienne, Narges Mohammadi, dit avoir été "directement et indirectement menacée d'élimination physique" par les autorités iraniennes, a indiqué vendredi le comité Nobel qui s'est entretenu avec elle par téléphone. (AFP)
Short Url
  • La prix Nobel de la paix iranienne, Narges Mohammadi, dit avoir été "directement et indirectement menacée d'élimination physique"
  • Ces menaces "montrent clairement que sa sécurité est en jeu, à moins qu'elle ne s'engage à mettre fin à tout engagement public en Iran"

OSLO: La prix Nobel de la paix iranienne, Narges Mohammadi, dit avoir été "directement et indirectement menacée d'élimination physique" par les autorités iraniennes, a indiqué vendredi le comité Nobel qui s'est entretenu avec elle par téléphone.

Ces menaces "montrent clairement que sa sécurité est en jeu, à moins qu'elle ne s'engage à mettre fin à tout engagement public en Iran" ainsi qu'à "toute apparition dans les médias", ajoute le comité Nobel dans un communiqué. Mme Mohammadi a été récompensée en 2023 pour "son combat contre l'oppression des femmes en Iran et pour la promotion des droits de l'homme".