Les gouvernements mettent le gang du rançongiciel REvil hors ligne

Des responsables américains évoquent l'attaque du ransomware Colonial Pipeline lors d'une conférence de presse à Washington, D.C. le 7 juin 2021. (Reuters/Archive Photo)
Des responsables américains évoquent l'attaque du ransomware Colonial Pipeline lors d'une conférence de presse à Washington, D.C. le 7 juin 2021. (Reuters/Archive Photo)
Des responsables américains évoquent l'attaque du ransomware Colonial Pipeline lors d'une conférence de presse à Washington, D.C. le 7 juin 2021. (Reuters /Archive Photo)
Des responsables américains évoquent l'attaque du ransomware Colonial Pipeline lors d'une conférence de presse à Washington, D.C. le 7 juin 2021. (Reuters /Archive Photo)
Short Url
Publié le Vendredi 22 octobre 2021

Les gouvernements mettent le gang du rançongiciel REvil hors ligne

  • Les cyberspécialistes des forces de l'ordre et du renseignement ont pu pirater l'infrastructure du réseau informatique de REvil, obtenant ainsi le contrôle d’un certain nombre de leurs serveurs
  • Une personne proche du dossier déclare qu'un partenaire étranger du gouvernement américain a effectué l'opération de piratage de l'architecture informatique de REvil

Le groupe de ransomware REvil a lui-même été piraté et mis hors ligne cette semaine par une opération menée dans plusieurs pays, selon trois cyberexperts du secteur privé travaillant avec les États-Unis et un ancien responsable.

D'anciens partenaires et associés du gang criminel dirigé par la Russie étaient responsables d'une cyberattaque sur le pipeline Colonial en mai qui a entraîné une pénurie généralisée de gaz sur la côte est des États-Unis. Parmi les victimes directes de REvil, on compte le grand emballeur de viande JBS. Le site Web «Happy Blog» du groupe criminel, utilisé pour divulguer des données sur les victimes et extorquer des entreprises, n'est plus disponible.

Les responsables déclarent que l'attaque sur le pipeline Colonial utilisait un logiciel de cryptage appelé «DarkSide», développé par les associés de REvil.

Le responsable de la stratégie de cybersécurité de VMware, Tom Kellermann, indique que les forces de l'ordre et les services de renseignement ont empêché le groupe d’attaquer d'autres entreprises.

«Le FBI, en collaboration avec le Cyber Command, les services secrets et des pays partageant les mêmes idées, se sont véritablement engagés dans des actions perturbatrices importantes contre ces groupes», déclare Tom Kellermann, conseiller des services secrets américains sur les enquêtes sur la cybercriminalité. «REvil était en tête de liste.»

Une personnalité de la direction connue sous le nom de «0_neday», qui avait contribué à relancer les opérations du groupe après une précédente fermeture, précise que les serveurs de REvil ont été piratés par une partie non identifiée.

«Le serveur a été compromis et ils me cherchaient», a écrit 0_neday sur un forum sur la cybercriminalité le week-end dernier et repéré pour la première fois par la société de sécurité Recorded Future. «Bonne chance à tous; je pars.»

Les tentatives du gouvernement américain pour arrêter REvil, l'un des pires gangs de ransomware («rançongiciel») parmi les dizaines qui travaillent avec des pirates pour pénétrer et paralyser des entreprises du monde entier, se sont accélérées après que le groupe a compromis la société américaine de gestion de logiciels Kaseya en juillet.

Cette brèche a ouvert l'accès à des centaines de clients de Kaseya à la fois, ce qui a conduit à de nombreux appels d'urgence devant la multiplication des cyberincidents.

Clé de décryptage

À la suite de l'attaque de Kaseya, le FBI a obtenu une clé de décryptage universelle qui permettait aux personnes infectées via Kaseya de récupérer leurs fichiers sans payer de rançon.

Mais les responsables de l'application des lois ont d'abord conservé la clé pendant des semaines alors qu'ils poursuivaient discrètement les membres de REvil, a reconnu plus tard le FBI.

Selon trois personnes proches du dossier, des cyberspécialistes des forces de l'ordre et du renseignement ont réussi à pirater l'infrastructure du réseau informatique de REvil, obtenant ainsi le contrôle d’un certain nombre de leurs serveurs.

Après la mise hors ligne, en juillet, des sites Web que le groupe de pirates informatiques utilisait pour mener ses activités, le principal porte-parole du groupe, qui se fait appeler «Inconnu», a disparu d'Internet.

Lorsqu’un membre du gang 0_neday et d'autres ont restauré ces sites Web à partir d'une sauvegarde le mois dernier, ils ont redémarré sans le savoir certains systèmes internes qui étaient déjà contrôlés par les forces de l'ordre.

«Le gang de ransomware REvil a restauré l'infrastructure à partir des sauvegardes en supposant qu'elles n'avaient pas été compromises», déclare Oleg Skulkin, directeur adjoint de l'équipe chargée de la criminalistique numérique et de la réponse aux incidents chez Group-IB, dirigé par la Russie. «Paradoxalement, la tactique préférée du gang consistant à compromettre les sauvegardes s'est retournée contre eux.»

Des sauvegardes fiables constituent l'une des défenses les plus importantes contre les attaques de ransomware, mais elles doivent rester déconnectées des réseaux principaux faute de quoi elles peuvent également être cryptées par des extorqueurs tels que REvil.

Un porte-parole du Conseil de sécurité nationale de la Maison-Blanche a refusé de commenter spécifiquement l'opération.

«D'une manière générale, nous menons un effort gouvernemental global sur les ransomwares, notamment en perturbant l'infrastructure et les acteurs de ces derniers, en collaborant avec le secteur privé pour moderniser nos défenses et en créant une coalition internationale pour tenir les pays qui hébergent les acteurs des rançons responsables», déclare le porte-parole.

Le FBI a refusé de commenter.

Une personne proche du dossier déclare qu'un partenaire étranger du gouvernement américain a mené l'opération de piratage de l'architecture informatique de REvil. Un ancien responsable américain, qui a requis l'anonymat, déclare que l'opération est toujours en cours.

Ce succès s'explique par la détermination du sous-procureur général américain, Lisa Monaco, qui a estimé que les attaques de ransomware contre les infrastructures sensibles doivent être traitées comme un problème de sécurité nationale au même titre que le terrorisme, déclare M. Kellermann.

En juin, le sous-procureur général adjoint principal, John Carlin, a déclaré à Reuters que le ministère de la Justice donnait aux enquêtes sur les attaques de ransomware une priorité similaire.

Ces actions ont donné au ministère de la Justice et à d'autres agences une base légale pour obtenir l'aide des agences de renseignement américaines et du ministère de la Défense, souligne Tom Kellermann.

«Avant, vous ne pouviez pas pirater ces forums, et l'armée ne voulait pas s’en mêler. Depuis, les choses ont changé.»

 

Ce texte est la traduction d’un article paru sur Arabnews.com


Les Etats-Unis frappent l'Iran pour la troisième nuit de suite et vont rétablir le blocus des ports

Les Etats-Unis ont mené une troisième nuit consécutive de frappes contre l'Iran, avant le rétablissement prévu mardi du blocus naval des ports iraniens, même si Donald Trump suggère qu'un accord avec Téhéran est encore "possible". (AFP)
Les Etats-Unis ont mené une troisième nuit consécutive de frappes contre l'Iran, avant le rétablissement prévu mardi du blocus naval des ports iraniens, même si Donald Trump suggère qu'un accord avec Téhéran est encore "possible". (AFP)
Short Url
  • Quatre explosions ont été entendues près de Bandar Abbas, ville portuaire située sur le détroit d'Ormuz, selon l'agence de presse iranienne Irna
  • Parmi les objectifs ciblés figurent "des systèmes de défense côtière, des installations de drones et de missiles et des moyens maritimes", selon le Centcom

TEHERAN: Les Etats-Unis ont mené une troisième nuit consécutive de frappes contre l'Iran, avant le rétablissement prévu mardi du blocus naval des ports iraniens, même si Donald Trump suggère qu'un accord avec Téhéran est encore "possible".

Pendant une mission de cinq heures, "les forces américaines ont frappé des cibles militaires" dans plusieurs villes portuaires du sud de l'Iran, comme Bouchehr et Bandar Abbas, a détaillé le commandement américain pour le Moyen-Orient (Centcom) dans la matinée.

Quatre explosions ont été entendues près de Bandar Abbas, ville portuaire située sur le détroit d'Ormuz, selon l'agence de presse iranienne Irna.

Parmi les objectifs ciblés figurent "des systèmes de défense côtière, des installations de drones et de missiles et des moyens maritimes", selon le Centcom.

"Nous allons les frapper fort ce soir, et nous allons les frapper fort demain", avait déclaré lundi Donald Trump dans une interview radio. Pour le président américain, les dirigeants iraniens "ne peuvent absolument rien faire contre" ces frappes.

Comme la veille, les Gardiens de la Révolution iraniens ont, eux, revendiqué une opération à Bahreïn - entre autres contre un bâtiment hébergeant les troupes américaines sur la base de Juffair.

L'armée idéologique iranienne a aussi annoncé avoir ciblé en Jordanie "des installations clé et les forces américaines sur une base aérienne jordanienne", dans un communiqué cité par l'agence Tasnim. L'armée jordanienne a annoncé pour sa part l'interception de quatre missiles iraniens.

Deux tankers attaqués 

Dans le détroit d'Ormuz, les Emirats arabes unis ont déploré des attaques de missiles iraniens contre deux de leurs tankers, tuant un membre d'équipage indien.

Malgré ces échanges de frappes, Donald Trump a tout de même estimé, devant la presse à la Maison Blanche, qu'un accord avec l'Iran était encore "possible".

Avant cela, il avait annoncé sur Truth Social que les Etats-Unis prendraient le contrôle du détroit d'Ormuz et que le blocus des ports iraniens serait rétabli.

Il entrera en vigueur mardi à 20H00 GMT, selon l'armée américaine.

Tout comme Téhéran souhaite instaurer un péage pour traverser Ormuz, le président américain a dit vouloir percevoir en échange de la protection du détroit "une rémunération correspondant à 20% de la valeur des cargaisons", contraire au droit international censé garantir la liberté de navigation.

Le pétrole remonte 

Le chef de la diplomatie iranienne, Abbas Araghchi, dont le pays a pris le contrôle du détroit au début de la guerre, a rétorqué sur X: "l'Iran a toujours été le gardien du détroit et le restera pour toujours".

Donald Trump "a tout à fait raison. Quiconque assure le passage sûr et sécurisé des navires commerciaux dans le détroit d'Ormuz devrait être rémunéré", a-t-il ironisé, ajoutant: "20%, c'est évidemment trop. Nous serons équitables".

Les Gardiens de la Révolution iraniens ont accusé les Etats-Unis de mettre en péril l'approvisionnement mondial en pétrole.

Au lendemain d'une envolée spectaculaire de plus de 9%, les cours du pétrole continuaient leur ascension dans ce contexte. Le baril de Brent de la mer du Nord, référence internationale, gagnait 1,19% à 84,29 dollars vers 02H00 GMT.

Après quasiment 40 jours de bombardements dans le conflit déclenché par des frappes israélo-américaines le 28 février, un cessez-le-feu était entré en vigueur début avril, avant d'être entériné le 17 juin par un protocole d'accord.

Mais depuis des attaques survenues mardi contre des navires tentant de franchir Ormuz, les affrontements ont repris avec une intensité inédite depuis des semaines, faisant dire à Donald Trump que le cessez-le-feu était "terminé".

La semaine dernière, le président américain a d'ailleurs envoyé une notice officielle au Congrès indiquant que le conflit avec l'Iran avait repris, a confirmé la Maison Blanche à l'AFP.

Et au total, 25 personnes ont été tuées depuis mercredi, selon un décompte de l'AFP à partir des médias iraniens et sources officielles.

 Protocole d'accord "en crise" 

Pour le porte-parole de la diplomatie iranienne Esmaïl Baghaï, "il ne fait aucun doute" que le protocole d'accord "est en crise".

"Mais l'Iran n'a jamais été le premier à violer ses engagements", a-t-il tancé lors d'une conférence de presse lundi à Téhéran à laquelle assistait l'AFP.

Les consultations avec les médiateurs que sont le Qatar, le Pakistan et Oman se poursuivent afin de "prévenir une escalade", a-t-il toutefois assuré.

Le protocole d'accord prévoyait la réouverture du détroit, Téhéran n'autorisant toutefois qu'un seul couloir de navigation, le long de ses côtes.

"Ce passage stratégique est plus important que des dizaines de bombes atomiques, et la République islamique d'Iran le protégera", avait averti dimanche le conseiller militaire du guide suprême, Mohsen Rezaï.


L'armée américaine dit avoir conclu une série de frappes en Iran contre «des dizaines de cibles»

  • L'armée américaine a affirmé avoir conclu dimanche une série de frappes contre "des dizaines de cibles" en Iran
  • Elle a "visé des systèmes iraniens de défense aérienne, des radars côtiers, des capacités de missiles et de drones, ainsi que de petites embarcations"

WASHINGTON: L'armée américaine a affirmé avoir conclu dimanche une série de frappes contre "des dizaines de cibles" en Iran, pour la deuxième journée consécutive, se disant prête à "garantir que la liberté de navigation reste assurée" dans le détroit d'Ormuz.

Les forces américaines "ont visé des systèmes iraniens de défense aérienne, des radars côtiers, des capacités de missiles et de drones, ainsi que de petites embarcations", a écrit le commandement américain pour le Moyen-Orient (Centcom) sur X.

 


Le chef de la diplomatie iranienne se rend à Oman au sujet du détroit d'Ormuz

La visite sera axée sur le détroit d'Ormuz et la sécurité de la navigation, a rapporté l'agence de presse officielle iranienne. (AFP)
La visite sera axée sur le détroit d'Ormuz et la sécurité de la navigation, a rapporté l'agence de presse officielle iranienne. (AFP)
  • Abbas Araghchi se rend à Oman pour des discussions sur le détroit d'Ormuz et la sécurité maritime
  • Malgré le cessez-le-feu avec Washington, le contrôle du détroit d'Ormuz reste une source de tensions

TEHERAN: Le chef de la diplomatie iranienne Abbas Araghchi va se rendre samedi à Oman pour une visite axée "sur le détroit d'Ormuz et la sécurité maritime", a annoncé son porte-parole.

La visite "portera principalement sur le détroit d'Ormuz et la sécurité maritime" et s'inscrit "dans le prolongement des consultations que nous avons entamées avec Oman depuis un mois ou deux", a déclaré le porte-parole du ministère des Affaires étrangères, Esmaïl Baghaï, selon des propos rapportés par l'agence de presse officielle iranienne IRNA.

Malgré l'accord conclu le 17 juin entre les Etats-Unis et l'Iran pour mettre fin à la guerre déclenchée fin février par des attaques américano-israéliennes, la question du détroit demeure un point de contentieux majeur.

L'Iran a profité du conflit pour prendre le contrôle de ce point de passage clef pour le commerce mondial des hydrocarbures et refuse de revenir à la situation antérieure.

Téhéran veut imposer des droits de passage sur les bateaux et autorise uniquement une route longeant ses côtes, dans le nord. Des navires passant au sud, au large d'Oman, ont récemment été attaqués, ce qui a déclenché une reprise des hostilités avec les Etats-Unis.

En mai, le président Donald Trump avait menacé à la surprise générale de "pulvériser" le sultanat d'Oman s'il continuait de discuter avec Téhéran d'une gestion commune du détroit.

"Plusieurs séries de réunions techniques ont eu lieu jusqu'à présent, tant à Téhéran qu'à Mascate, et ce déplacement s'inscrit dans le prolongement de ces consultations, afin de contribuer à faciliter la circulation en toute sécurité dans le détroit d'Ormuz", a également fait savoir le porte-parole de la diplomatie iranienne.