La guerre contre l’écosystème du ransomware continue de plus de belle. Après avoir fait appel, il y a quelques semaines, aux hackers militaires de l’US Cyber Command pour pirater et démanteler l’infrastructure technique du fameux ransomware REvil, les autorités américaines viennent d’annoncer l’arrestation d’un gros poisson de la nébuleuse de ce malware, Yaroslav Vasinskyi. Cet Ukrainien de 22 ans — une véritable tête d’ange comme on peut voir sur le réseau Vkontakte — croupit actuellement dans une prison polonaise et sera bientôt extradé vers les États-Unis.
Il est accusé d’avoir piraté le 2 juillet dernier Kaseya, éditeur d’un outil d’administration informatique, ainsi que 1500 de ses clients. C’est l’une des plus grosses attaques de ransomware jamais réalisées. Les pirates ont réclamé une rançon stratosphérique de 70 millions de dollars.
Meet Yaroslav Vasinskyi (« Mr Rabotnik »), aged 22. He was an affiliate of REvil and is believed to be involved in the Kaseya supply chain attack.
“If they tell you nasty things about me, believe every word,” -Yaroslav Vasinskyi
*Images of Yaroslav when he was approx. 19 pic.twitter.com/dK6SoVldTM
— vx-underground (@vxunderground) November 8, 2021
L’arrestation de M. Vasinskyi est quelque peu étrange. Il a été arrêté le 8 octobre par la police polonaise en franchissant la frontière avec l’Ukraine. Pourquoi cet homme, se sachant activement recherché par les autorités américaines, a-t-il pris le risque d’aller dans un pays qui a signé un traité d’extradition avec les États-Unis ? Il aurait pu rester tranquillement en Ukraine, qui ne dispose pas d’un tel accord. « Il y a beaucoup de raisons qui font que les gens voyagent. Je ne peux pas vous détailler pourquoi M. Vasinsky a voyagé, mais nous sommes contents qu’il l’ait fait », a expliqué lors d’une conférence de presse Christopher Wray, directeur du FBI, avec un grand sourire aux lèvres.
Un curieux passage de frontière
Il n’est pas impossible de cette opération soit liée à l’arrestation le 5 octobre de deux pirates en Ukraine. D’après les informations données par les forces de l’ordre, il s’agissait probablement de deux membres du groupe REvil. L’un deux était peut-être Yaroslav Vasinskyi et ce dernier a peut-être été gentiment accompagné à la frontière polonaise trois jours plus tard, qui sait ?
A découvrir aussi en vidéo :
Les autorités américaines sont également aux trousses d’un autre pirate d’envergure, à savoir Yevgeniy Polyanin. Cet homme de 28 ans aurait réalisé plus de 3000 attaques avec REvil et récolté plus de 31 millions de dollars de rançon. Il court toujours, mais les autorités américaines ont réussi à récupérer l’équivalent de 6,1 millions de dollars en cryptoactifs. Ces derniers étaient stockés sur un compte de la place de marché FTX. « Nous avons des moyens de déranger ceux qui s’abritent dans des endroits comme la Russie. Et Polyanin l’a découvert lorsqu’il s’est réveillé et qu’il n’a plus retrouvé 6,1 millions de dollars qu’il avait extorqué à ses victimes », a ajouté Christopher Wray, avec de nouveau un sourire au coin des lèvres.
Mais ce n’est pas tout. Deux autres membres du groupe REvil viennent d’être arrêtés en Roumanie, sous la coordination d’Europol et d’Eurojust. Là encore, il s’agit d’affiliés, c’est-à-dire d’utilisateurs du ransomware. Ensemble, ils auraient réalisé plus de 5000 infections et soutiré un demi-million d’euros aux victimes. Un affilié à REvil et deux affiliés à GandCrab — un ancêtre de REvil — ont également été arrêtés en Corée du Sud durant ces derniers mois.
Certes, ces résultats sont moins illustres que celui du FBI, mais ce n’est qu’un début. Grâce au piratage de l’infrastructure technique de REvil, les autorités américaines ont très certainement pu mettre la main sur des données permettant d’identifier et de traquer l’ensemble des membres de REvil. Leurs têtes ont d’ailleurs été mises à prime : 10 millions de dollars pour les leaders et 5 millions de dollars pour les affiliés.
Les têtes sont mises à prix
Une prime de 10 millions de dollars a également été proposée récemment pour les pirates du ransomware Darkside, qui étaient à l’origine du piratage de Colonial Pipeline. « Les États-Unis vont continuer à poursuivre de manière agressive tout l’écosystème du ransomware », a martelé Merrick B. Garland, procureur fédéral des États-Unis. Celui-ci a souligné que le gang REvil a infecté plus 175 000 ordinateurs dans le monde et soutiré plus de 200 millions de dollars en rançons. La chasse aux pirates est désormais grande ouverte.
Sources: Justice.gov, Europol.