Ce 14 janvier 2022, le FSB, le service fédéral de sécurité de la fédération de Russie, a annoncé avoir, sur demande des Etats-Unis, mis fin aux activités du gang de rançongiciel REvil, via 14 arrestations et la confiscations de nombreux biens. Est-ce le bout de la route pour ces champions du ransomware, responsables des spectaculaires attaques contre Colonial Capital, JBS et Kaseya ?
REvil, suite et fin ? Le célèbre gang de rançongiciel est dans le viseur des autorités américaines depuis ses spectaculaires hacks, début 2021, du groupe d’agroalimentaire JBS et du gazoduc Colonial Pipeline. Et l’étau ne cesse depuis de se resserrer autour du groupe criminel d’origine russe.
Le FBI et les services secrets US font du gang de rançongiciel REvil une cible prioritaire
A l’été 2021, une action du FBI suite à l’attaque contre le logiciel Kaseya avait permis aux forces de l’ordre de mettre temporairement hors-ligne les serveurs de REvil, et, surtout, d’infecter certaines sauvegardes de ces serveurs. Quand les membres de REvil ont redémarré ces serveurs à partir de ces sauvegardes, à l’automne 2021, les forces de l’ordre américaine ont pu les déconnecter à nouveau.
Les collectes d’informations des forces de l’ordre ont par ailleurs abouti à plusieurs arrestations. Début novembre 2021, les Etats-Unis ont ainsi interpelé un Ukrainien de 22 ans, Yaroslav Vasinskyi, suspecté d’avoir participé à l’attaque contre Kaseya. Dans le même temps, Europol et Eurojust ont coordonné diverses opérations de police aboutissant à l’arrestation de deux personnes en Roumanie, de trois en Corée du Sud et d’une au Koweït.
Le FSB russe s’attaque à REvil juste après une entrevue Biden-Poutine : hasard ou coïncidence ?
Début janvier 2022, le président américain Joe Biden s’est entretenu avec son homologue russe Vladimir Poutine. Et si la situation explosive en Ukraine a occupé une bonne partie de leur entretien, Joe Biden a aussi reproché à la Russie sa passivité face aux cybercriminels internationaux opérant sur son territoire.
Difficile d’affirmer avec certitude l’impact de cette entrevue sur les actions des forces de l’ordre russe. Mais, ce 14 janvier 2022, le FSB, le service fédéral de sécurité de la fédération de Russie, a annoncé avoir mené, à la demande des autorités américaines, une vaste opération contre les membres de REvil sur le sol russe.
14 arrestations dans trois villes, près de 6 millions d’euros saisis
Des informations fournies par les services secrets américains auraient permis au FSB d’identifier la composition du gang, ainsi que la localisation de ses différents membres. Les forces de sécurité ont alors coordonné une opération visant 25 adresses à Moscou, Saint-Pétersbourg et Lipetsk, une ville à 400 km environ au sud-est de la capitale.
Le coup de filet est impressionnant : 14 personnes ont été arrêtés, et de nombreux biens et équipements informatiques saisis. Outre différents ordinateurs et serveurs, le FSB a confisqué 426 millions de roubles (environ 4,9 millions d’euros), 600 000 dollars (environ 525 000 euros) et 500 000 euros, sur des comptes bancaires classiques ou en crypto-monnaies, ainsi qu’une vingtaine de voitures de luxe.
REvil pourra-t-il une nouvelle fois renaître de ses cendres ?
Le FSB a précisé que le groupe, dans son ensemble, avait été « neutralisé », et que l’opération avait permis de « documenter ses activités illégales ». « Ces personnes ont développé des logiciels malveillants, organisé le vol de fonds sur les comptes bancaires de citoyens étrangers et leur encaissement, notamment en achetant des biens coûteux sur Internet », détaille le FSB dans son communiqué.
Restent deux questions en suspens. La première est de savoir si REvil ne va pas, une nouvelle fois, renaître de ses cendres, et si tous les cerveaux du groupe ont bien été arrêtés. De plus, REvil fonctionnait comme un véritable éditeur de logiciel, qui vendait son rançongiciel à différents groupes criminels affiliés, contre un pourcentage sur les rançons récupérées.
Quelles suites judiciaires à ce coup de filet ?
La seconde est celle des suites judiciaires qu’aura ce coup de filet. Le FSB précise que les arrestations s’appuient sur la deuxième partie de l’article 187 du code pénal russe. Relatif à la circulation illégale de moyens de paiement, ce texte prévoit une peine d’emprisonnement maximale de sept ans ainsi qu’une amende allant jusqu’à un million de roubles (11 000 euros).
Par ailleurs, le cadre légal russe interdit l’extradition de citoyens russes à l’étranger. Seuls les éventuels étrangers arrêtés pourront donc être extradés et jugés dans les pays (Etats-Unis en tête) où leurs actions ont fait le plus de dégâts.