Les gouvernements mettent le gang du rançongiciel REvil hors ligne

Des responsables américains évoquent l'attaque du ransomware Colonial Pipeline lors d'une conférence de presse à Washington, D.C. le 7 juin 2021. (Reuters/Archive Photo)
Des responsables américains évoquent l'attaque du ransomware Colonial Pipeline lors d'une conférence de presse à Washington, D.C. le 7 juin 2021. (Reuters/Archive Photo)
Des responsables américains évoquent l'attaque du ransomware Colonial Pipeline lors d'une conférence de presse à Washington, D.C. le 7 juin 2021. (Reuters /Archive Photo)
Des responsables américains évoquent l'attaque du ransomware Colonial Pipeline lors d'une conférence de presse à Washington, D.C. le 7 juin 2021. (Reuters /Archive Photo)
Short Url
Publié le Vendredi 22 octobre 2021

Les gouvernements mettent le gang du rançongiciel REvil hors ligne

  • Les cyberspécialistes des forces de l'ordre et du renseignement ont pu pirater l'infrastructure du réseau informatique de REvil, obtenant ainsi le contrôle d’un certain nombre de leurs serveurs
  • Une personne proche du dossier déclare qu'un partenaire étranger du gouvernement américain a effectué l'opération de piratage de l'architecture informatique de REvil

Le groupe de ransomware REvil a lui-même été piraté et mis hors ligne cette semaine par une opération menée dans plusieurs pays, selon trois cyberexperts du secteur privé travaillant avec les États-Unis et un ancien responsable.

D'anciens partenaires et associés du gang criminel dirigé par la Russie étaient responsables d'une cyberattaque sur le pipeline Colonial en mai qui a entraîné une pénurie généralisée de gaz sur la côte est des États-Unis. Parmi les victimes directes de REvil, on compte le grand emballeur de viande JBS. Le site Web «Happy Blog» du groupe criminel, utilisé pour divulguer des données sur les victimes et extorquer des entreprises, n'est plus disponible.

Les responsables déclarent que l'attaque sur le pipeline Colonial utilisait un logiciel de cryptage appelé «DarkSide», développé par les associés de REvil.

Le responsable de la stratégie de cybersécurité de VMware, Tom Kellermann, indique que les forces de l'ordre et les services de renseignement ont empêché le groupe d’attaquer d'autres entreprises.

«Le FBI, en collaboration avec le Cyber Command, les services secrets et des pays partageant les mêmes idées, se sont véritablement engagés dans des actions perturbatrices importantes contre ces groupes», déclare Tom Kellermann, conseiller des services secrets américains sur les enquêtes sur la cybercriminalité. «REvil était en tête de liste.»

Une personnalité de la direction connue sous le nom de «0_neday», qui avait contribué à relancer les opérations du groupe après une précédente fermeture, précise que les serveurs de REvil ont été piratés par une partie non identifiée.

«Le serveur a été compromis et ils me cherchaient», a écrit 0_neday sur un forum sur la cybercriminalité le week-end dernier et repéré pour la première fois par la société de sécurité Recorded Future. «Bonne chance à tous; je pars.»

Les tentatives du gouvernement américain pour arrêter REvil, l'un des pires gangs de ransomware («rançongiciel») parmi les dizaines qui travaillent avec des pirates pour pénétrer et paralyser des entreprises du monde entier, se sont accélérées après que le groupe a compromis la société américaine de gestion de logiciels Kaseya en juillet.

Cette brèche a ouvert l'accès à des centaines de clients de Kaseya à la fois, ce qui a conduit à de nombreux appels d'urgence devant la multiplication des cyberincidents.

Clé de décryptage

À la suite de l'attaque de Kaseya, le FBI a obtenu une clé de décryptage universelle qui permettait aux personnes infectées via Kaseya de récupérer leurs fichiers sans payer de rançon.

Mais les responsables de l'application des lois ont d'abord conservé la clé pendant des semaines alors qu'ils poursuivaient discrètement les membres de REvil, a reconnu plus tard le FBI.

Selon trois personnes proches du dossier, des cyberspécialistes des forces de l'ordre et du renseignement ont réussi à pirater l'infrastructure du réseau informatique de REvil, obtenant ainsi le contrôle d’un certain nombre de leurs serveurs.

Après la mise hors ligne, en juillet, des sites Web que le groupe de pirates informatiques utilisait pour mener ses activités, le principal porte-parole du groupe, qui se fait appeler «Inconnu», a disparu d'Internet.

Lorsqu’un membre du gang 0_neday et d'autres ont restauré ces sites Web à partir d'une sauvegarde le mois dernier, ils ont redémarré sans le savoir certains systèmes internes qui étaient déjà contrôlés par les forces de l'ordre.

«Le gang de ransomware REvil a restauré l'infrastructure à partir des sauvegardes en supposant qu'elles n'avaient pas été compromises», déclare Oleg Skulkin, directeur adjoint de l'équipe chargée de la criminalistique numérique et de la réponse aux incidents chez Group-IB, dirigé par la Russie. «Paradoxalement, la tactique préférée du gang consistant à compromettre les sauvegardes s'est retournée contre eux.»

Des sauvegardes fiables constituent l'une des défenses les plus importantes contre les attaques de ransomware, mais elles doivent rester déconnectées des réseaux principaux faute de quoi elles peuvent également être cryptées par des extorqueurs tels que REvil.

Un porte-parole du Conseil de sécurité nationale de la Maison-Blanche a refusé de commenter spécifiquement l'opération.

«D'une manière générale, nous menons un effort gouvernemental global sur les ransomwares, notamment en perturbant l'infrastructure et les acteurs de ces derniers, en collaborant avec le secteur privé pour moderniser nos défenses et en créant une coalition internationale pour tenir les pays qui hébergent les acteurs des rançons responsables», déclare le porte-parole.

Le FBI a refusé de commenter.

Une personne proche du dossier déclare qu'un partenaire étranger du gouvernement américain a mené l'opération de piratage de l'architecture informatique de REvil. Un ancien responsable américain, qui a requis l'anonymat, déclare que l'opération est toujours en cours.

Ce succès s'explique par la détermination du sous-procureur général américain, Lisa Monaco, qui a estimé que les attaques de ransomware contre les infrastructures sensibles doivent être traitées comme un problème de sécurité nationale au même titre que le terrorisme, déclare M. Kellermann.

En juin, le sous-procureur général adjoint principal, John Carlin, a déclaré à Reuters que le ministère de la Justice donnait aux enquêtes sur les attaques de ransomware une priorité similaire.

Ces actions ont donné au ministère de la Justice et à d'autres agences une base légale pour obtenir l'aide des agences de renseignement américaines et du ministère de la Défense, souligne Tom Kellermann.

«Avant, vous ne pouviez pas pirater ces forums, et l'armée ne voulait pas s’en mêler. Depuis, les choses ont changé.»

 

Ce texte est la traduction d’un article paru sur Arabnews.com


Allemagne: des blessés par arme à feu dans une université, l'assaillant décédé

"Un individu a blessé plusieurs personnes dans un amphithéâtre avec une arme longue", a expliqué la police de Mannheim dans un communiqué. (AFP).
"Un individu a blessé plusieurs personnes dans un amphithéâtre avec une arme longue", a expliqué la police de Mannheim dans un communiqué. (AFP).
Short Url
  • Ce site universitaire, sur la rive nord du fleuve Neckar, accueille notamment des facultés de sciences naturelles
  • Selon les informations de la chaîne publique Südwestrundfunk (SWR), l'université a demandé par mail à ses étudiants de ne pas se rendre sur le campus du quartier de Neuenheimer Feld pour le moment

BERLIN: Plusieurs personnes ont été blessées lundi dans une attaque perpétrée par un homme muni d'une "arme longue" dans un amphithéâtre de l'université de Heidelberg, dans le sud-ouest de l'Allemagne, a annoncé la police locale, ajoutant que l'assaillant était décédé.


"Un individu a blessé plusieurs personnes dans un amphithéâtre avec une arme longue", a expliqué la police de Mannheim dans un communiqué.


"L'auteur lui-même est mort", a-t-elle ajouté, sans préciser s'il avait ou non été abattu par les forces de l'ordre arrivées en nombre sur place.


Selon les informations de la chaîne publique Südwestrundfunk (SWR), l'université a demandé par mail à ses étudiants de ne pas se rendre sur le campus du quartier de Neuenheimer Feld pour le moment. Il n'y aurait cependant "plus de menace imminente", selon SWR.


Ce site universitaire, sur la rive nord du fleuve Neckar, accueille notamment des facultés de sciences naturelles, des départements du centre hospitalier universitaire et le jardin botanique.


La législation allemande sur la détention d'armes à feu a été renforcée après deux attaques perpétrées dans des écoles dans la ville d'Erfurt, dans l'est du pays, en avril 2002, et dans la ville de Winnenden, dans le sud-ouest, en mars 2009. 


Mexique: une deuxième journaliste assassinée à Tijuana en une semaine

Des journalistes couvrent la scène du crime où la journaliste Lourdes Maldonado a été assassinée à Santa Fe, dans la périphérie de Tijuana, en Basse-Californie, au Mexique, le 23 janvier 2022. (Guillermo Arias/AFP)
Des journalistes couvrent la scène du crime où la journaliste Lourdes Maldonado a été assassinée à Santa Fe, dans la périphérie de Tijuana, en Basse-Californie, au Mexique, le 23 janvier 2022. (Guillermo Arias/AFP)
Short Url
  • Lourdes Maldonado Lopez a été tuée par «arme à feu alors qu'elle se trouvait à bord d'un véhicule»
  • Elle avait demandé il y a deux ou trois ans au président de la République, Andres Manuel Lopez Obrador, «appui, aide et justice parce qu'on a peur pour ma vie»

TIJUANA, Mexique Une journaliste, qui avait publiquement déclaré qu'elle craignait pour sa vie il y a déjà quelques années, a été assassinée dimanche à Tijuana, deuxième meurtre d'un professionnel des médias en une semaine dans cette ville du nord-ouest du Mexique, à la frontière des États-Unis.

Lourdes Maldonado Lopez a été tuée par «arme à feu alors qu'elle se trouvait à bord d'un véhicule», a indiqué le parquet général de l'Etat de Basse-Californie dans un communiqué.  Elle «travaillait comme journaliste», a ajouté le parquet en annonçant l'ouverture d'une enquête.

Des coups de feu ont été entendus vers 18h20 (02h20 GMT) dans un quartier de Tijuana, a rapporté le journal Zeta Tijuana.

Un autre journaliste, le photoreporter Margarito Martinez, avait été tué lundi dernier à Tijuana. Il collaborait avec Zeta, le quotidien Jornada et des journalistes étrangers en reportage à Tijuana. Le parquet a déclaré qu'il n'écartait aucune piste.

La journaliste assassinée dimanche avait travaillé pour Primer Sistema de Noticias (PSN) de Jaime Bonilla, gouverneur de l'Etat de Basse-Californie de 2019 à fin 2021, au sein d'une coalition soutenant le parti présidentiel Morena.

La victime avait gagné il y a quelques jours un procès contre PSN, qu'elle poursuivait depuis neuf ans pour licenciement abusif, avait rapporté la presse mexicaine.

Elle avait demandé il y a deux ou trois ans au président de la République, Andres Manuel Lopez Obrador, «appui, aide et justice parce qu'on a peur pour ma vie», selon une vidéo republiée sur les réseaux sociaux à l'annonce de son assassinat.

«Je suis en procès depuis six ans avec lui», ajoutait-elle au sujet du gouverneur Bonilla, en interpellant le chef de l'Etat lors de l'une de ses conférences de presse.

Le président l'avait renvoyée vers son «coordinateur de communication sociale» (porte-parole) pour «qu'il t'aide et t'appuie, pour que l'on demande justice, pour qu'il n'y ait pas d'abus de pouvoir».

La déléguée de l'ONG Reporters sans frontière (RSF) au Mexique, Balbina Flores, a déclaré à l'AFP qu'il restait à confirmer si Mme Maldonado disposait d'une protection officielle.

La représentante de RSF a demandé aux autorités d'enquêter de manière exhaustive et transparente. La plupart des assassinats de journalistes restent non élucidés.

Le Comité pour la protection des journalistes (CPJ) s'est déclaré «choqué» par ce dernier assassinat, en demandant également aux autorités «d'enquêter de manière exhaustive et transparente».

Au moins sept journalistes ont été tués en 2021 au Mexique, d'après un décompte de l'AFP, qui tente à chaque fois d'établir si la victime était bien encore en activité, et si elle a été tuée à cause de son travail journalistique.

C'est le cas dans l'Etat du Veracruz (sud-est), où un homme présenté comme un journaliste, José Luis Gamboa, a été retrouvé mort poignardé le 10 janvier, ont indiqué lundi plusieurs sources.

Reporters sans frontière et la Commission d'Etat pour la protection des journalistes ont demandé aux enquêteurs de prendre en compte son statut de journaliste.

«Gamboa avait dénoncé et critiqué fortement les autorités locales pour leur relation avec le crime organisé», d'après RSF.

Sur son compte suivi par 1.070 abonnés, la victime se présentait comme le «directeur général» de trois publications en ligne. Dans l'un de ses derniers articles publiés fin décembre - en fait un long éditorial -, José Luis Gamboa dénonçait des acteurs politiques «liés au crime organisé».

Le Mexique est considéré comme l'un des pays les plus dangereux au monde pour les journalistes, exposés aux représailles des cartels de narcotrafiquants à l'oeuvre dans plusieurs des 32 Etats du pays.

Une centaine de journalistes ont été tués depuis 2000, d'après des chiffres de la Commission des droits de l'homme.


Ukraine: l'Otan renforce la défense en Europe de l'Est

Les partenaires de l'OTAN mènent des manœuvres et des exercices, le 20 décembre 2021. A quelques milles nautiques de là, un navire russe les observe sans intervenir, à bonne distance mais sans aucune discrétion. (Didier Lauras/AFP)
Les partenaires de l'OTAN mènent des manœuvres et des exercices, le 20 décembre 2021. A quelques milles nautiques de là, un navire russe les observe sans intervenir, à bonne distance mais sans aucune discrétion. (Didier Lauras/AFP)
Short Url
  • «Ces unités, dirigées respectivement par le Royaume-Uni, le Canada, l'Allemagne et les États-Unis, sont multinationales et prêtes au combat», assure l'Alliance
  • «Leur présence indique clairement qu'une attaque contre un Allié sera considérée comme une attaque contre toute l'Alliance», avertit l'Otan

BRUXELLES, Belgique : Les pays de l'Otan ont placé des forces en attente et envoyé des navires et des avions de combat pour renforcer leur défense en Europe de l'Est face aux activités militaires de la Russie aux frontières de l'Ukraine, a annoncé lundi l'Alliance dans un communiqué.

«L'OTAN continuera de prendre toutes les mesures nécessaires pour protéger et défendre tous les Alliés, y compris en renforçant la partie orientale de l'Alliance. Nous répondrons toujours à toute détérioration de notre environnement de sécurité, notamment en renforçant notre défense collective», a expliqué le secrétaire général de l'Otan Jens Stoltenberg.

«Le Danemark envoie une frégate dans la mer Baltique et s'apprête à déployer quatre avions de chasse F-16 en Lituanie pour soutenir la mission de police aérienne de longue date de l'Otan dans la région», indique le communiqué.

«L'Espagne envoie des navires rejoindre les forces navales de l'Otan et envisage d'envoyer des avions de combat en Bulgarie», ajoute le communiqué.

«La France s'est déclarée prête à envoyer des troupes en Roumanie sous le commandement de l'Otan. Les Pays-Bas envoient deux avions de chasse F-35 en Bulgarie à partir d'avril pour soutenir les activités de police aérienne de l'Otan dans la région, et mettent un navire et des unités terrestres en attente pour la Force de réaction de l'Otan», détaille le communiqué.

«Les États-Unis ont également clairement indiqué qu'ils envisageaient d'accroître leur présence militaire dans la partie orientale de l'Alliance», précise l'Otan.

«Depuis l'annexion illégale de la Crimée par la Russie en 2014, l'Otan a renforcé sa présence dans la partie orientale de l'alliance, notamment avec quatre groupements tactiques multinationaux en Estonie, en Lettonie, en Lituanie et en Pologne», rappelle l'Otan.

«Ces unités, dirigées respectivement par le Royaume-Uni, le Canada, l'Allemagne et les États-Unis, sont multinationales et prêtes au combat», assure l'Alliance.

«Leur présence indique clairement qu'une attaque contre un Allié sera considérée comme une attaque contre toute l'Alliance», avertit l'Otan.  Il n'y avait pas de forces de l'Otan dans la partie orientale de l'Alliance avant 2014, rappelle le communiqué.