Les gouvernements mettent le gang du rançongiciel REvil hors ligne

Des responsables américains évoquent l'attaque du ransomware Colonial Pipeline lors d'une conférence de presse à Washington, D.C. le 7 juin 2021. (Reuters/Archive Photo)
Des responsables américains évoquent l'attaque du ransomware Colonial Pipeline lors d'une conférence de presse à Washington, D.C. le 7 juin 2021. (Reuters/Archive Photo)
Des responsables américains évoquent l'attaque du ransomware Colonial Pipeline lors d'une conférence de presse à Washington, D.C. le 7 juin 2021. (Reuters /Archive Photo)
Des responsables américains évoquent l'attaque du ransomware Colonial Pipeline lors d'une conférence de presse à Washington, D.C. le 7 juin 2021. (Reuters /Archive Photo)
Short Url
Publié le Vendredi 22 octobre 2021

Les gouvernements mettent le gang du rançongiciel REvil hors ligne

  • Les cyberspécialistes des forces de l'ordre et du renseignement ont pu pirater l'infrastructure du réseau informatique de REvil, obtenant ainsi le contrôle d’un certain nombre de leurs serveurs
  • Une personne proche du dossier déclare qu'un partenaire étranger du gouvernement américain a effectué l'opération de piratage de l'architecture informatique de REvil

Le groupe de ransomware REvil a lui-même été piraté et mis hors ligne cette semaine par une opération menée dans plusieurs pays, selon trois cyberexperts du secteur privé travaillant avec les États-Unis et un ancien responsable.

D'anciens partenaires et associés du gang criminel dirigé par la Russie étaient responsables d'une cyberattaque sur le pipeline Colonial en mai qui a entraîné une pénurie généralisée de gaz sur la côte est des États-Unis. Parmi les victimes directes de REvil, on compte le grand emballeur de viande JBS. Le site Web «Happy Blog» du groupe criminel, utilisé pour divulguer des données sur les victimes et extorquer des entreprises, n'est plus disponible.

Les responsables déclarent que l'attaque sur le pipeline Colonial utilisait un logiciel de cryptage appelé «DarkSide», développé par les associés de REvil.

Le responsable de la stratégie de cybersécurité de VMware, Tom Kellermann, indique que les forces de l'ordre et les services de renseignement ont empêché le groupe d’attaquer d'autres entreprises.

«Le FBI, en collaboration avec le Cyber Command, les services secrets et des pays partageant les mêmes idées, se sont véritablement engagés dans des actions perturbatrices importantes contre ces groupes», déclare Tom Kellermann, conseiller des services secrets américains sur les enquêtes sur la cybercriminalité. «REvil était en tête de liste.»

Une personnalité de la direction connue sous le nom de «0_neday», qui avait contribué à relancer les opérations du groupe après une précédente fermeture, précise que les serveurs de REvil ont été piratés par une partie non identifiée.

«Le serveur a été compromis et ils me cherchaient», a écrit 0_neday sur un forum sur la cybercriminalité le week-end dernier et repéré pour la première fois par la société de sécurité Recorded Future. «Bonne chance à tous; je pars.»

Les tentatives du gouvernement américain pour arrêter REvil, l'un des pires gangs de ransomware («rançongiciel») parmi les dizaines qui travaillent avec des pirates pour pénétrer et paralyser des entreprises du monde entier, se sont accélérées après que le groupe a compromis la société américaine de gestion de logiciels Kaseya en juillet.

Cette brèche a ouvert l'accès à des centaines de clients de Kaseya à la fois, ce qui a conduit à de nombreux appels d'urgence devant la multiplication des cyberincidents.

Clé de décryptage

À la suite de l'attaque de Kaseya, le FBI a obtenu une clé de décryptage universelle qui permettait aux personnes infectées via Kaseya de récupérer leurs fichiers sans payer de rançon.

Mais les responsables de l'application des lois ont d'abord conservé la clé pendant des semaines alors qu'ils poursuivaient discrètement les membres de REvil, a reconnu plus tard le FBI.

Selon trois personnes proches du dossier, des cyberspécialistes des forces de l'ordre et du renseignement ont réussi à pirater l'infrastructure du réseau informatique de REvil, obtenant ainsi le contrôle d’un certain nombre de leurs serveurs.

Après la mise hors ligne, en juillet, des sites Web que le groupe de pirates informatiques utilisait pour mener ses activités, le principal porte-parole du groupe, qui se fait appeler «Inconnu», a disparu d'Internet.

Lorsqu’un membre du gang 0_neday et d'autres ont restauré ces sites Web à partir d'une sauvegarde le mois dernier, ils ont redémarré sans le savoir certains systèmes internes qui étaient déjà contrôlés par les forces de l'ordre.

«Le gang de ransomware REvil a restauré l'infrastructure à partir des sauvegardes en supposant qu'elles n'avaient pas été compromises», déclare Oleg Skulkin, directeur adjoint de l'équipe chargée de la criminalistique numérique et de la réponse aux incidents chez Group-IB, dirigé par la Russie. «Paradoxalement, la tactique préférée du gang consistant à compromettre les sauvegardes s'est retournée contre eux.»

Des sauvegardes fiables constituent l'une des défenses les plus importantes contre les attaques de ransomware, mais elles doivent rester déconnectées des réseaux principaux faute de quoi elles peuvent également être cryptées par des extorqueurs tels que REvil.

Un porte-parole du Conseil de sécurité nationale de la Maison-Blanche a refusé de commenter spécifiquement l'opération.

«D'une manière générale, nous menons un effort gouvernemental global sur les ransomwares, notamment en perturbant l'infrastructure et les acteurs de ces derniers, en collaborant avec le secteur privé pour moderniser nos défenses et en créant une coalition internationale pour tenir les pays qui hébergent les acteurs des rançons responsables», déclare le porte-parole.

Le FBI a refusé de commenter.

Une personne proche du dossier déclare qu'un partenaire étranger du gouvernement américain a mené l'opération de piratage de l'architecture informatique de REvil. Un ancien responsable américain, qui a requis l'anonymat, déclare que l'opération est toujours en cours.

Ce succès s'explique par la détermination du sous-procureur général américain, Lisa Monaco, qui a estimé que les attaques de ransomware contre les infrastructures sensibles doivent être traitées comme un problème de sécurité nationale au même titre que le terrorisme, déclare M. Kellermann.

En juin, le sous-procureur général adjoint principal, John Carlin, a déclaré à Reuters que le ministère de la Justice donnait aux enquêtes sur les attaques de ransomware une priorité similaire.

Ces actions ont donné au ministère de la Justice et à d'autres agences une base légale pour obtenir l'aide des agences de renseignement américaines et du ministère de la Défense, souligne Tom Kellermann.

«Avant, vous ne pouviez pas pirater ces forums, et l'armée ne voulait pas s’en mêler. Depuis, les choses ont changé.»

 

Ce texte est la traduction d’un article paru sur Arabnews.com


L'armée américaine dit avoir mené une nouvelle série de frappes en Iran, sur 90 cibles

Des personnes se rassemblent sur la place Ferdowsi à Téhéran pour les funérailles du guide suprême iranien, Ali Khamenei. (AFP)Les États-Unis annoncent avoir frappé environ 90 cibles militaires en Iran, dont des systèmes de défense antiaérienne
Des personnes se rassemblent sur la place Ferdowsi à Téhéran pour les funérailles du guide suprême iranien, Ali Khamenei. (AFP)Les États-Unis annoncent avoir frappé environ 90 cibles militaires en Iran, dont des systèmes de défense antiaérienne
  • Les États-Unis annoncent avoir frappé environ 90 cibles militaires en Iran, dont des systèmes de défense antiaérienne
  • Selon le Centcom, ces frappes visent à réduire les capacités de l’Iran à menacer la navigation commerciale dans le détroit d’Ormuz

WASHINGTON: L'armée américaine a atteint quelque 90 "cibles militaires" en Iran, parmi lesquelles des systèmes de défense antiaérienne, lors de sa dernière série de frappes, a annoncé mercredi soir le commandement américain pour le Moyen-Orient (Centcom).

"Les Etats-Unis ont achevé une nouvelle série de frappes contre l'Iran, le 8 juillet, afin de dégrader davantage la capacité de l'Iran à s'en prendre au transport maritime commercial et à d'innocents marins civils dans le détroit d'Ormuz", a détaillé le Centcom dans un communiqué publié sur X.


Les Etats-Unis vont retirer la Syrie de leur liste des Etats soutenant le terrorisme

L'adoubement d'Ahmed al-Chareh par Donald Trump intervient malgré les réticences d'Israël, qui a mené à plusieurs reprises des frappes aériennes en Syrie. (AFP)
L'adoubement d'Ahmed al-Chareh par Donald Trump intervient malgré les réticences d'Israël, qui a mené à plusieurs reprises des frappes aériennes en Syrie. (AFP)
  • Cette annonce survient après la rencontre en marge du sommet de l'Otan en Turquie entre Donald Trump et Ahmed al-Chareh, un ancien djihadiste devenu président de la Syrie après le coup d'Etat contre le régime de Bachar al-Assad en décembre 2024
  • "C'est un autre pas historique de la part du président Trump pour donner au peuple syrien une chance de grandeur", a déclaré Marco Rubio dans un communiqué

WASHINGTON: Les Etats-Unis ont annoncé mercredi qu'ils allaient retirer la Syrie de leur liste noire des pays accusés de soutenir le terrorisme, une classification vieille de plusieurs dizaines d'années qui limitait les investissements dans ce pays.

Le secrétaire d'Etat Marco Rubio a officiellement informé le Congrès de cette décision attendue de longue date, qui sera effective dans 45 jours, à moins que les parlementaires ne choisissent, de manière inattendue, de la bloquer.

Cette annonce survient après la rencontre en marge du sommet de l'Otan en Turquie entre Donald Trump et Ahmed al-Chareh, un ancien djihadiste devenu président de la Syrie après le coup d'Etat contre le régime de Bachar al-Assad en décembre 2024.

"C'est un autre pas historique de la part du président Trump pour donner au peuple syrien une chance de grandeur", a déclaré Marco Rubio dans un communiqué.

"Lever les sanctions contre la Syrie va débloquer le commerce international et les investissements, donner à la Syrie une chance de se reconstruire, et ouvrir un nouveau chapitre pour le peuple syrien", a-t-il poursuivi.

L'adoubement d'Ahmed al-Chareh par Donald Trump intervient malgré les réticences d'Israël, qui a mené à plusieurs reprises des frappes aériennes en Syrie.

Le président américain avait auparavant publiquement poussé en faveur d'un accord de paix entre Israël et la Syrie, mais a finalement choisi de lever cette classification malgré l'absence de progrès dans les négociations.

Dans son communiqué, Marco Rubio a expliqué que cette décision avait été prise après avoir reçu des "assurances formelles" de la part d'Ahmed al-Chareh selon lesquelles "la Syrie ne soutiendra pas d'actes de terrorisme international à l'avenir".

Il a soutenu qu'une "Syrie stable, unifiée et en paix avec elle-même et avec ses voisins ne sera pas seulement bénéfique pour la région, mais pour le monde entier".

Donald Trump avait commencé à lever la plupart des sanctions contre la Syrie il y a un an, après que la Turquie et l'Arabie saoudite l'ont encouragé à rencontrer Ahmed al-Chareh.

"Il fait un travail incroyable pour unifier la Syrie", a affirmé le président américain à son sujet lors de la rencontre à Ankara.

La Syrie était sur la liste américaine des pays accusés de soutenir le terrorisme depuis sa création en 1979.

Après cette décision, seuls l'Iran, la Corée du Nord et Cuba demeurent sur cette liste.

 


Trump affirme que le cessez-le-feu avec l'Iran est « terminé»

Le président américain Donald Trump s'exprime lors d'une rencontre avec le secrétaire général de l'Otan, en marge du sommet de l'Alliance à Ankara, le 8 juillet 2026. (AFP)
Le président américain Donald Trump s'exprime lors d'une rencontre avec le secrétaire général de l'Otan, en marge du sommet de l'Alliance à Ankara, le 8 juillet 2026. (AFP)
  • Donald Trump affirme que le dossier iranien est « terminé » pour lui, tout en laissant la porte ouverte à une reprise des négociations par ses émissaires
  • Les tensions restent vives entre Washington et Téhéran, sur fond de frappes, de représailles militaires et d'accusations mutuelles de violation du cessez-le-feu

ANKARA: Le président américain Donald Trump a affirmé mercredi à Ankara que le cessez-le-feu avec l'Iran était "terminé", ouvrant toutefois la porte à une reprise éventuelle des discussions.

"En ce qui me concerne, c'est terminé", a-t-il lancé au deuxième jour d'un sommet de l'Otan.

"C'est juste une perte de temps de discuter avec eux, ce sont des menteurs", a-t-il ajouté.

Le locataire de la Maison Blanche a toutefois laissé entendre que les négociateurs pourraient poursuivre les discussions, après l'avoir consulté.

Jared Kushner et Steve Witkoff sont "de bons négociateurs, ils veulent négocier", a-t-il ainsi affirmé, mais "ils doivent revenir vers moi".

Le président américain n'a pas eu de mots assez durs contre les dirigeants iraniens qu'il a qualifiés d'"ordures" avec qui il refusait désormais de discuter.

"Je ne veux plus avoir affaire à eux, ce sont des ordures. (...) ce sont des malades", a-t-il encore affirmé .

"Ils sont vicieux, ce sont des gens violents, et s'ils avaient l'arme nucléaire, ils l'utiliseraient", a-t-il ajouté, aux côtés du secrétaire général de l'Otan Mark Rutte, affirmant avoir pourtant obtenu un accord avec l'Iran.

"Tout le monde est d'accord : pas d'arme nucléaire. On passe un marché. Ils sortent, plaisantent devant la presse, ils disent qu'on n'en a même jamais parlé. Il y a quelque chose qui ne tourne pas rond chez eux, ils sont fous", a-t-il encore déclaré.

Les Etats-Unis ont frappé plus de 80 cibles en Iran en riposte à des tirs iraniens sur des navires commerciaux dans le détroit d'Ormuz, déclenchant mercredi des représailles de Téhéran qui a dit avoir attaqué des bases américaines au Koweït et à Bahreïn.

Washington a également rétabli ses sanctions économiques sur le pétrole iranien après les attaques de navires. Les deux camps s'accusent de violer leur protocole d'accord, signé le 17 juin pour mettre fin à la guerre déclenchée le 28 février par l'offensive américano-israélienne contre la République islamique.