La justice américaine a annoncé, mardi 16 mai, l’inculpation de Mikhail Pavlovich Matveev, ressortissant russe âgé de 30 ans aussi connu sous le pseudonyme de « Wazawaka », et accusé par les autorités de complicité avec au moins trois groupes de rançongiciel : Babuk, LockBit et Hive. Des noms associés à de nombreuses attaques dans le monde visant aussi bien des associations et des collectivités locales que des grandes entreprises.
L’acte d’inculpation américain dévoilé mardi accuse notamment M. Matveev d’avoir mené une attaque retentissante, avec le groupe Babuk, contre un réseau de la police de Washington. Des documents internes confidentiels avaient été mis en ligne à la suite de celle-ci. Dans un entretien accordé au site spécialisé The Record, il avait également soutenu avoir mené une autre attaque très médiatisée contre l’éditeur de jeux vidéo japonais Capcom en 2020 pour le compte du groupe Ragnar Locker.
Un affilié prolifique
Actif sur plusieurs forums de discussion fréquentés par le milieu cybercriminel, « Wazawaka » est un pirate spécialisé dans l’intrusion : dans l’écosystème bien huilé du rançongiciel, il n’est généralement pas celui qui développe le virus utilisé pour bloquer les machines de ses victimes, mais il se concentre sur la manière d’infecter un réseau pour pouvoir rançonner une entreprise ou une organisation. Souvent appelés « affiliés », ces spécialistes mènent des attaques pour les développeurs de rançongiciels et partagent les gains en fonction des modèles économiques des différents groupes. Mikhail Matveev est néanmoins soupçonné d’avoir étendu ses activités en cocréant avec au moins un autre pirate le groupe Babuk, ainsi qu’en mettant au point un forum de discussion, nommé RAMP, conçu pour permettre aux cybercriminels d’échanger entre eux.
Son identité avait été largement éventée en janvier 2022, notamment par une enquête du spécialiste en cybersécurité Brian Krebs, qui avait suivi les traces numériques laissées par « Wazawaka », aussi bien sur les forums de discussion russophones qu’au cours de ses activités illicites. Ressortait en filigrane le portrait d’un vétéran de la cyberdélinquance et de la cybercriminalité, soupçonné d’avoir vendu des attaques par déni de service et d’avoir monté des arnaques visant les clients de marchés du dark Web, avant de finalement se reconvertir dans les attaques par rançongiciel.
Les autorités américaines offrent aujourd’hui jusqu’à dix millions de dollars de récompense pour toute information pouvant mener à l’arrestation de Mikhail Matveev, qui se trouverait selon elles sur le sol russe. En parallèle, le département du Trésor a placé le suspect sur une liste de sanctions. Cette décision s’inscrit dans la droite ligne de la stratégie américaine de réponse à l’explosion des attaques par rançongiciel : les autorités publient régulièrement des actes d’inculpation visant des suspects identifiés en Russie, autant pour leur adresser un avertissement que pour mettre la pression sur le pays. Celui-ci est accusé de fermer les yeux sur les activités cybercriminelles sur son sol.