La chute apparente de REvil, l’un des gangs de ransomware les plus prolifiques et les plus dangereux de ces dernières années, à la suite d’une série de raids des autorités russes, a naturellement été bien accueillie dans la communauté de la sécurité. Mais ce sentiment de soulagement devrait être tempéré par la connaissance presque certaine que le retrait ne signifie pas que la menace de ransomware est plus proche de passer, ou que le récit public sur la fin de REvil est entièrement comme il semble.
Ce que nous pouvons dire avec certitude, c’est que le coup mortel porté à REvil a été porté le vendredi 14 janvier 2022, lorsque des agents du service de sécurité de l’État russe FSB, travaillant aux côtés du département des enquêtes du ministère russe de l’Intérieur, ont mené des raids à Moscou, Saint-Pétersbourg et Lipetsk – une petite ville située à environ 420 kilomètres au sud de Moscou.
Le FSB a déclaré que la base de ces activités était « l’appel des autorités américaines compétentes » qui avaient partagé avec lui des détails sur le dirigeant de REvil et son implication dans des attaques de ransomware.
L’agence a déclaré qu’elle avait établi la « composition complète » du gang REvil et documenté de manière approfondie l’étendue de ses activités. Il les a accusés d’avoir développé des logiciels malveillants, d’avoir organisé le vol de fonds sur des comptes bancaires en dehors de la Russie et d’avoir encaissé leurs gains.
Le FSB a perquisitionné 25 adresses liées à 14 membres du gang REvil et a récupéré plus de 426 millions de roubles, dont 600 000 dollars et 500 000 euros en crypto-monnaie, portefeuilles cryptographiques liés, matériel informatique et, comme c’est devenu courant dans de tels raids, un certain nombre de véhicules de luxe.
Par la suite, huit des personnes arrêtées ont été inculpées de crimes en vertu de la partie 2 de l’article 187 du Code pénal russe, qui concerne la circulation illégale de moyens de paiement. L’agence de presse russe TASS a nommé deux de ces personnes comme Roman Muromsky et Andrey Bessonov. Selon Reuters, Muromsky était connu comme un développeur de sites Web spécialisé dans les sites de petites entreprises.
Des gars gourmands et loufoques
Ziv Mador, vice-président de la recherche en sécurité chez Trustwave Spiderlabs, passe ses journées de travail à explorer le dark web, qu’il décrit comme une « fenêtre sur l’âme » de la communauté cybercriminelle. Il dit que dans les jours qui ont suivi l’action « sans précédent » du FSB, les cybercriminels basés en Russie sont devenus terrifiés à l’idée que le temps est écoulé et qu’il ne leur reste plus aucun endroit où se cacher.
À la fin de 2021, Mador a publié des recherches qui ont mis en évidence un certain degré d’inquiétude déjà pris racine chez certains cybercriminels basés en Russie, qui étaient alarmés par le fait que les autorités russes les pourchassaient activement. Cela a maintenant dégénéré en panique.
« Nous avons vu beaucoup de réponses sur leurs forums depuis vendredi, et ils sont très mécontents », a déclaré Mador à Computer Weekly. « Certains d’entre eux ont peur. Ce sentiment de sécurité qu’ils avaient l’habitude d’opérer en Russie – qui était considéré comme une sorte de refuge pour eux – n’est plus le cas. »
Dans le passé, explique Mador, de nombreux cybercriminels opérant à partir de la Russie avaient réussi à se sortir de tout problème juridique dans lequel ils auraient pu être mêlés – en payant des pots-de-vin, par exemple – mais étant donné que le FSB a agi sur la base des demandes américaines, il est maintenant clair pour eux que l’action contre REvil a été approuvée au plus haut niveau – c’est-à-dire, par Vladimir Poutine.
En d’autres termes, dit Mador, les cybercriminels russes sont à court d’options et d’espoir. Certains suggèrent de détruire les preuves de leurs braquages, de leurs traces de papier, de leurs journaux de discussion, etc. D’autres parlent de la possibilité de quitter complètement la Russie, avec des refuges potentiels tels que la Chine, l’Inde, les pays du Moyen-Orient et même, pour des raisons mystifiantes pour quiconque a une compréhension passagère de l’industrie de la cybersécurité, Israël.
Certains d’entre eux critiquent le groupe REvil parce qu’ils pensent qu’ils sont devenus trop médiatisés et ont ciblé des entreprises très puissantes.
Ziv Mador, Trustwave Spiderlabs
Dans l’un des commentaires, l’un d’eux rappelle à tout le monde à quel point les conditions dans les prisons russes sont difficiles, il a même dit qu’il valait mieux être dans une prison américaine qu’une prison russe. Ils savent donc que s’ils vont en prison, ce sera vraiment difficile, et cela leur fait peur », dit Mador.
Il y a aussi de la colère dirigée contre REvil lui-même, avec un utilisateur de forum Web sombre en colère les qualifiant de « gars cupides » qui ont attaqué « sans discernement sans comprendre ». Un autre a déclaré: « Il était nécessaire de réfléchir avant de grimper et de crypter des entreprises de plusieurs milliards de dollars, des écoles, des États. Avec qui ont-ils osé rivaliser ? ». Une troisième affiche du forum a réfléchi : « Être une superstar dans notre industrie est une très mauvaise idée. »
« Certains d’entre eux critiquent le groupe REvil parce qu’ils pensent qu’ils sont allés trop haut profiet ciblait des entreprises très puissantes. Lorsque vous avez un impact aussi énorme, vous vous faites une cible, ce qui est exactement ce qui s’est passé », explique Mador.
Les jours heureux sont à nouveau là
La collaboration entre les États-Unis et la Russie pour mettre REvil au pas est, à première vue, la bienvenue après des années d’hostilité entre les deux puissances sur le cyberespace et d’autres questions, mais il est probablement trop tôt pour dire si les arrestations créent ou non un précédent pour une coopération future, comme Bert Steppé, chercheur principal à l’unité de défense tactique de F-Secure, souligne.
Steppé prévoit deux scénarios – l’un où les arrestations étaient ponctuelles, et l’autre où elles annoncent le début d’une coopération à plus long terme entre les États-Unis et la Russie sur les questions cybernétiques. « J’espère que c’est la dernière, car je crois que c’est le seul moyen de lutter contre les gangs de cybercriminalité bien organisés », dit-il.
Quoi qu’il en soit, il est probablement préférable de ne pas retenir votre souffle pour que la paix éclate. « Les arrestations par l’État russe pour des auteurs de cybercriminalité internationale sont en grande partie sans précédent », a déclaré Toby Lewis, responsable de l’analyse des menaces chez Darktrace. « Bien que cela puisse suggérer un tournant historique dans les efforts internationaux pour lutter contre les ransomwares… il serait trop tôt pour considérer qu’il s’agit là d’une plus grande coopération plutôt que de manœuvres politiques à court terme.
Joseph Carson, scientifique en chef de la sécurité et RSSI consultatif de ThycoticCentrify, n’a pas tardé à parler d’une flambée de paix et de coopération entre la Russie et les États-Unis. « Nous sommes dans une cyberguerre froide en ce moment. C’est une réalité. Le cyber est une arme qui a été utilisée », dit-il.
Alors que la situation géopolitique régionale en Europe de l’Est reste très volatile et instable en ce qui concerne l’agression russe en cours contre l’Ukraine, certains commentateurs ont spéculé sur un lien entre les actions du FSB et les négociations houleuses entre Moscou et Washington DC.
Notez que la semaine dernière a également vu des cyberattaques concertées soutenues par la Russie contre des cibles clés du gouvernement ukrainien, bien que ces actions ne soient liées à aucun gang de ransomware connu.
Alors, les arrestations de REvil pourraient-elles être une tentative d’adoucir les Américains sur l’Ukraine, ou de détourner l’attention de la crise ? Carson concède que même si le timing peut soulever un sourcil, c’est presque certainement autre chose.
« Lorsque vous avez une telle situation politique en ce moment en Ukraine, ainsi que des cyberattaques ciblées contre l’Ukraine, puis à peu près au même moment le démantèlement d’un gang de ransomware bien connu et notoire, vous ne pouvez pas vous empêcher de supposer que le moment est lié. [and] beaucoup de gens essaient d’établir des liens. Mais je ne suis pas sûr que ce soit connecté », dit-il.
Carson s’appuie sur les liens connus entre les gangs de cybercriminalité très médiatisés et les groupes APT soutenus par l’État, qui se sont avérés dans le passé étroitement liés, pour suggérer que ce qui a réellement motivé l’action du FSB était en fait une tentative de contrôler les propres forces cyber-mercenaires de la Russie.
« Ce n’est pas qu’ils [Russia] prennent position sur les ransomwares – c’est qu’ils montrent aux autres groupes de ransomwares qu’ils doivent rester en ligne. Exploitez, mais ne vous faites pas prendre, ne faites pas pirater votre infrastructure critique, ne révélez pas d’informations critiques sur les connexions et les associations », dit-il.
Un coup dur pour les gangs de ransomwares
Ce n’est pas la fin des gangs de ransomware très médiatisés, bien que nous puissions provisoirement nous attendre à une période de réduction alors que les cybercriminels déterminent ce qu’il faut faire ensuite.
Steppé de F-Secure a déclaré: « Je soupçonne que ces gangs vont faire plus attention à leurs cibles, et [will] s’abstenir d’attaquer quoi que ce soit qui causerait probablement un impact énorme, par exemple Colonial Pipeline, ou attirer beaucoup d’attention des médias, par exemple Kaseya, jusqu’à ce qu’il soit clair si les arrestations de REvil sont une chose unique ou non. Donc, oui, je pense qu’il est trop tôt pour dire quel sera l’impact à long terme. »
Lewis de Darktrace a déclaré: « Les arrestations que nous avons vues auparavant ont eu un impact tactique décent contre des groupes individuels, mais le marché florissant des services criminels et une liste sans cesse croissante de groupes se livrant à des ransomwares signifient que l’impact via l’arrestation n’est souvent qu’un répit à court terme. »
Le marché florissant des services criminels… signifie que l’impact de l’arrestation n’est souvent qu’un répit à court terme
Toby Lewis, Darktrace
« Je ne pense pas que ce soit une victoire célèbre. Il y a beaucoup plus de groupes criminels là-bas », ajoute Carson de ThycoticCentrify, qui souligne le nombre de groupes cybercriminels qui ont émergé au cours des 12 derniers mois seulement, qui a dépassé, par une certaine marge, le nombre de groupes qui ont été supprimés. « Je ne pense pas que nous réduisions le nombre de les gangs là-bas, même si nous en créons peut-être beaucoup de plus petits.
Un point positif pour les victimes est la possibilité que le FSB ait saisi et puisse libérer une clé de décryptage principale – une telle clé est déjà disponible auprès de Bitdefender, mais ne fonctionnera pas pour toutes les victimes.
Lewis dit que l’existence d’une telle clé, ou qui l’a, est encore une quantité inconnue. « Les professionnels de la cybersécurité et les victimes de REvil attendront avec impatience si le FSB a été en mesure de saisir la paire de clés principale qui serait capable de déchiffrer toutes les données que REvil a précédemment volées », dit-il. « Ce sera également une question à laquelle les victimes actuelles qui auraient pu être en négociation avec REvil au moment de leur arrestation voudront avoir répondu. »
Mettre l’accent sur la résilience
Une chose est sûre, les gangs de ransomware qui n’ont pas eu peur vont rapidement chercher à changer leurs tactiques, techniques et procédures (TTP).
« Pour les professionnels de la sécurité, la réalité est que les prochains criminels attendent de bondir. Les prochains attaquants sont là et ils vont avoir des techniques plus efficaces et des logiciels de ransomware plus performants », explique Carson. « Les groupes criminels apprennent des erreurs du passé et ils évoluent pour s’assurer qu’ils réussissent à l’avenir. »
Dans les mois à venir, Carson met en évidence un certain nombre de scénarios qui pourraient se dérouler dans la clandestinité criminelle en réponse au démantèlement de REvil, l’un étant que les gangs de ransomware – craignant d’inviter les conséquences des grands braquages de REvil – chercheront à mieux contrôler qui ciblent leurs partenaires et affiliés. Cela stimulera le développement continu du modèle d’abonnement ransomware-as-a-service, avec de nouvelles souches qui pourraient même inclure des listes « autoriser » et « refuser » de cibles dans leur code.
Pour les RSSI et leurs équipes, le conseil principal pour l’instant reste de se concentrer sur la résilience face à l’évolution anticipée des ransomwares, et en particulier de déployer des stratégies de sauvegarde adaptées aux besoins qui sont testées et prêtes pour les attaques de ransomware, afin d’éviter une situation où vous devez envisager de payer une rançon et qui peuvent récupérer des données rapidement et efficacement.
Bien que cela ne résolve pas le problème de double extorsion de la fuite de données, c’est un pas dans la bonne direction et peut faire la différence entre un inconvénient mineur et un incident majeur.
Technologie3 ans ago
Monde3 ans ago
Technologie1 an ago
Monde3 ans ago
Monde3 ans ago
Monde3 ans ago
France3 ans ago
France3 ans ago