Le ministère américain de la Justice a inculpé lundi un ressortissant ukrainien et un Russe dans l’une des pires attaques de ransomware contre des cibles américaines devant un tribunal de district américain.
La dernière action américaine fait suite à une série de mesures prises pour lutter contre une flambée de ransomware qui a frappé plusieurs grandes entreprises, y compris une attaque contre le plus grand pipeline de carburant aux États-Unis qui a paralysé les livraisons de carburant pendant plusieurs jours.
Un acte d’accusation accuse l’Ukrainien Yaroslav Vasinskyi, qui a été arrêté en Pologne le mois dernier, d’avoir pénétré par effraction dans le fournisseur de logiciels de Floride Kaseya au cours du week-end.
À partir de là, lui et ses collègues ont distribué simultanément le ransomware REvil à 1 500 clients kaseya. Ensuite, il crypte leurs données et force certains d’entre eux à fermer pendant des jours.
Vasinskyi est accusé d’avoir pénétré par effraction dans les entreprises des victimes et d’avoir installé un logiciel de cryptage, développé par le groupe de base REvil. REvil s’est directement occupé des négociations de rançon et a partagé les bénéfices avec des affiliés comme Vasinskyi. Ce modèle permet aux gangs de ransomware notoires d’extorquer à de nombreuses entreprises des rançons de crypto-monnaie.
Kimberly Goody, directrice de l’analyse de la criminalité financière à la société de sécurité Mandiant, a déclaré que cibler les affiliés pourrait être plus efficace que de s’en prendre à un gang de base, car leurs compétences sont plus précieuses que les logiciels de cryptage, qui sont omniprésents. Certains affiliés travaillent également avec de nombreux gangs.
Les arrestations font partie d’un vaste balayage en cours de chiffres clés des ransomwares coordonné par le FBI, Europol et les organisations policières nationales à travers l’Europe, avec l’aide de sociétés de sécurité privées.
REvil, également impliqué dans une attaque contre le leader mondial de l’emballage de viande JBS SA, a été pénétré dans une opération conjointe, comme Reuters l’avait précédemment rapporté, et les autorités ont finalement été en mesure de récupérer une rançon de 6 millions de dollars livrée.
REvil a annoncé sa fermeture le mois dernier, tout comme les gangs rivaux impliqués dans le piratage de Colonial Pipeline.
Vasinskyi et un autre agent présumé de REvil, le ressortissant russe Yevgeniy Polyanin, ont été inculpés par le tribunal de district américain du district nord du Texas de complot en vue de commettre une fraude et de complot en vue de commettre un blanchiment d’argent, entre autres infractions.
Le département du Trésor a déclaré que les deux hommes faisaient l’objet de sanctions pour leur rôle dans des incidents de ransomware aux États-Unis, ainsi que d’un échange de devises virtuelles appelé Chatex « pour faciliter les transactions financières des auteurs de ransomwares ».
« Les agences gouvernementales lettone et estonienne sont essentielles à l’enquête », a déclaré le ministère des Finances.
« Les partenariats internationaux peuvent perturber les mauvais acteurs », a déclaré l’ancien défenseur civil américain Chris Krebs sur Twitter.
La sous-procureure générale Lisa Monaco a félicité Kaseya pour son aide dans l’enquête. « Nous sommes ici aujourd’hui parce que dans leurs moments les plus sombres, Kaseya a fait le bon choix et ils ont décidé de travailler avec le FBI ... Ce faisant, nous pouvons identifier et aider les nombreuses victimes de cette attaque. »
Le département du Trésor a déclaré que plus de 200 millions de dollars de paiements de rançon avaient été payés en Bitcoin et Monero.
Vasinskyi, 22 ans, est détenu en Pologne et attend toujours une procédure d’extradition vers les États-Unis, tandis que Polyanin, 28 ans, est toujours en fuite. La tolérance de la Russie à l’égard des grands gangs ciblant les industries américaines critiques est devenue un point chaud dans les relations avec l’administration Biden.
Le président américain Joe Biden a déclaré lundi que son administration avait pris des « mesures importantes pour renforcer » les infrastructures américaines critiques contre les cyberattaques.
« Lorsque j’ai rencontré le président Poutine en juin, j’ai clairement indiqué que les États-Unis prendraient des mesures pour tenir les cybercriminels responsables. C’est ce que nous avons fait aujourd’hui « , a-t-il déclaré dans un communiqué publié par la Maison Blanche.
Bien que les discussions se poursuivent, les experts en sécurité et la plupart des responsables américains affirment qu’ils n’ont pas constaté de baisse globale des attaques de ransomware. Le logiciel de cryptage utilisé pour de telles attaques est disponible gratuitement.
Reuters n’a pas été en mesure de joindre les représentants légaux des deux accusés lundi, et aucun avocat pour eux n’a été répertorié dans les documents déposés au tribunal.
L’acte d’accusation indique que les pirates ukrainiens et d’autres conspirateurs ont commencé à déployer des logiciels de piratage vers avril 2019 et les ont régulièrement mis à jour et affinés. Il a ajouté qu’il avait également blanchi de l’argent gagné grâce à un stratagème d’extorsion.
Europol a déclaré plus tôt lundi que les autorités roumaines ont arrêté le 4 novembre deux autres personnes soupçonnées d’avoir mené une attaque qui a propagé le ransomware REvil. Des responsables en Corée du Sud ont précédemment arrêté trois autres personnes liées à REvil et à deux types de ransomware connexes.
Douze suspects soupçonnés d’avoir mené des attaques de ransomware contre des entreprises ou des infrastructures dans 71 pays ont été « ciblés » lors de raids en Ukraine et en Suisse, a indiqué vendredi Europol.
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)