Les forces de l’ordre ont arrêté deux individus en Ukraine qui opéraient l’infrastructure d’un important rançongiciel. Il est probable qu’il s’agisse de REvil.
Deux gros poissons du ransomware ont été pris dans le filet des forces de l’ordre. Le 28 septembre dernier, la police ukrainienne a arrêté deux opérateurs d’un ransomware visiblement majeur, qui a ciblé « de très grands groupes industriels en Europe et en Amérique du Nord » et provoqué « plus de 150 millions de dollars de dommages ».
Les policiers ont perquisitionné sept domiciles. Ce qui leur a permis de saisir 375 000 dollars en cash et deux voitures de luxe pour une valeur de 217 000 euros. Ils ont également mis la main sur des cryptoactifs d’une valeur de 1,3 million de dollars.
Cette opération a notamment été menée en collaboration avec la Gendarmerie nationale et le FBI, qui ont respectivement envoyé six et quatre enquêteurs en Ukraine.
Les forces de l’ordre ne précisent pas le nom du ransomware mis en place par les criminels, mais il est probable qu’il s’agisse de REvil, le successeur de GandCrab. En effet, le communiqué d’Europol indique que le groupe était actif depuis avril 2020 et que les demandes de rançon allaient de 5 à 70 millions d’euros. Ce qui correspond bien aux revendications de REvil.
En effet, l’un de ses premiers grands faits d’armes remonte à fin avril 2020, avec le piratage du cabinet d’avocat Grubman Shire Meiselas & Sacks. Et en juillet dernier, REvil avait infecté les systèmes de l’éditeur Kaseya, et de ses clients, avec à la clé une rançon en bitcoin équivalente à plus de 70 millions de dollars.
Des opérations de police sont toujours en cours
Sur Twitter, en tous cas, les spéculations vont bon train. Pour le chercheur en sécurité Gar Warner, cela ne fait pas de pli, c’est bien de REvil qu’il s’agit. Joe Tidy, un journaliste de la BBC, constate de son côté que son informateur au sein du groupe REvil a bizarrement disparu de la circulation depuis le 18 septembre.
Claire Georges, une porte-parole d’Europol, a précisé que si le nom n’est pas cité, c’est pour des raisons « opérationnelles ». D’autres actions sont donc probablement en cours. Elle indique par ailleurs que « chaque mot dans notre communiqué a été savamment négocié et choisi ». On attend donc avec impatience la suite des évènements.
source : 01net