Des associés de REvil arrêtés dans le fait de la répression internationale des ransomwares

Dans le sillage de l’opération multinationale d’octobre ciblant l’infrastructure du gang de ransomware REvil (alias Sodinokibi), la police roumaine a arrêté deux affiliés présumés de REvil soupçonnés d’être à l’origine de 5 000 cyberattaques visant 500 000 € (427 000 £ / 580 000 $) dans le cadre d’une opération internationale d’application de la loi en cours visant le gang criminel notoire.

Les arrestations ont été effectuées jeudi 4 novembre dans la ville de Constanţa par l’unité roumaine de lutte contre le crime organisé et le terrorisme, DIICOT, avec l’aide de la police locale et de la gendarmerie nationale. DIICOT a déclaré avoir effectué des perquisitions dans quatre maisons de la ville côtière de la mer Noire et saisi des smartphones, des ordinateurs portables et des appareils de stockage.

L’action fait partie de l’opération GoldDust, un effort de 17 pays coordonné par les agences Europol et Eurojust de l’Union européenne (UE), Interpol et les forces de police du monde entier, ainsi que par les sociétés de cybersécurité Bitdefender, KPN et McAfee. L’opération GoldDust a fait l’état d’une vaste collaboration interinstitutions pour identifier et suivre les suspects, et saisir l’infrastructure informatique utilisée dans leurs attaques.

La dernière piqûre signifie qu’un total de sept suspects associés à REvil et à son prédécesseur GandCrab ont été placés en détention depuis février 2021, avec trois arrestations effectuées en Corée du Sud, une au Koweït et une autre en Europe. Au total, ils sont soupçonnés d’avoir attaqué environ 7 000 victimes.

Les racines de l’opération d’application de la loi se trouvent dans une enquête menée par la Roumanie visant le prédécesseur de REvil, GandCrab, qui remonte à 2018, alors qu’il s’agissait de l’un des ransomwares les plus prolifiques. Après que les opérateurs de GandCrab se sont « retirés » en 2019, pour lancer REvil quelques mois plus tard, les pistes de cette enquête ont contribué à former la base de l’opération GoldDust.

« REvil a réussi à compromettre des milliers d’entreprises à travers le monde et était connu pour extorquer des paiements beaucoup plus importants aux victimes que le prix moyen du marché. Les entreprises qui n’ont pas payé et qui ont tenté de restaurer à partir de sauvegardes ont été confrontées à un chantage avec la publication de leurs informations confidentielles volées », a déclaré Bogdan Botezatu, directeur de la recherche et du reporting sur les menaces chez Bitdefender.

« L’équipe Bitdefender Draco a fourni des conseils et des conseils en matière de cybersécurité, en particulier dans les domaines de la cryptographie, de la criminalistique et des enquêtes, ce qui a aidé le consortium d’application de la loi dans cette opération à minimiser l’impact des attaques de ransomware réussies et a finalement conduit à des arrestations.

« Cette collaboration avec les forces de l’ordre est un excellent exemple de la collaboration entre les secteurs public et privé pour perturber considérablement les activités cybercriminels », a-t-il ajouté.

Travaillant aux côtés des forces de l’ordre et d’autres partenaires techniques, Bitdefender a également joué un rôle clé dans le développement d’outils de décryptage gratuits pour GandCrab et REvil, qui peuvent être obtenus sur le site Web No More Ransom.

Au moment d’écrire ces lignes, l’outil de décryptage REvil a aidé plus de 1 400 victimes à décrypter leurs réseaux sans avoir à rembourser leurs attaquants, économisant environ 475 millions d’euros de pertes potentielles, tandis que les outils de décryptage GandCrab ont permis plus de 45 000 décryptages, économisant des millions d’euros de plus.