Pendant longtemps, ils ont été considérés comme quasiment impossibles à attraper : Les pirates informatiques qui extorquent de l’argent à leurs victimes par le biais de ransomwares. Les succès de l’enquête de la police contre REvil montrent désormais que la lutte contre les ransomwares n’est pas aussi désespérée qu’il n’y paraît.
En fait, les « affiliés » sont assez clairement définis dans l’économie de réseau. On entend par « affiliés », parfois aussi appelés « partenaires », des éditeurs qui, par le biais de « liens d’affiliation », dirigent leurs lecteurs ou les visiteurs de leurs pages vers les sites web des annonceurs et touchent ensuite une commission lorsque les lecteurs deviennent des clients.
Les affiliés sont des partenaires publicitaires libres qui ne gagnent pas d’argent uniquement par la diffusion de publicités, mais uniquement par des commissions. La lucrativité des programmes d’affiliation varie fortement. Certains sont d’excellentes occasions de faire fructifier son travail, surtout pour les grands sites web, tandis que d’autres ne rapportent au mieux que quelques centimes de café.
Parmi les programmes d’affiliation les plus lucratifs que l’on trouve actuellement, on peut citer ceux des exploitants de ransomware comme REvil. Depuis quelques années, les auteurs de ransomware ne se donnent plus la peine d’installer eux-mêmes le malware sur d’autres systèmes, mais comptent sur des affiliés pour le faire.
Ces affiliés reçoivent le logiciel de la part des pirates. Ils infiltrent les systèmes des victimes – en partie eux-mêmes par des technologies de piratage sophistiquées, en partie par de simples courriers indésirables – et téléchargent le ransomware. Si la victime paie ensuite, ils reçoivent une part des recettes, en général 70 à 80 %. Pendant ce temps, les auteurs du ransomware peuvent se reposer et regarder l’argent arriver.
Un portefeuille de plusieurs millions de dollars confisqué par un affilié
Récemment, le FBI américain s’est attaqué à ces affiliés. Les enquêteurs se sont penchés sur le cas d’un citoyen russe, Aleksandr Sikerin, résidant à Saint-Pétersbourg.
FBI Seizes Cryptocurrency Worth $2.3 Million From REvil Ransomware Group Affiliate | #malware | #ransomware#earegun
US law enforcement seized 39.9 Bitcoins from an Exodus wallet, worth approximately $2.3 million (roughly Rs. 17.3 crore) from a Russian citizen suspected of … pic.twitter.com/yyjGMQ4Y85
— Estiuck Al Regun (@earegun) December 6, 2021
Le FBI accuse Sikerin d’avoir obtenu un accès non autorisé à d’autres ordinateurs, d’y avoir installé le ransomware REvil et d’avoir ensuite blanchi de l’argent. Sur la base de cette accusation, les agents ont confisqué un portefeuille Exodus de Sikerin, qui contenait 39,9 bitcoins, soit environ 2,3 millions de dollars.
Selon l’acte d’accusation, Sikerin est en partie responsable d’attaques de ransomware qui ont entraîné le paiement d’une rançon d’environ 200 millions de dollars. Ces paiements de rançon peuvent en partie être mis en relation avec le portefeuille de Sikerin, qui est désormais sous le contrôle du FBI.
On ne sait pas encore exactement comment le FBI a réussi à s’approprier « un portefeuille Exodus ». Exodus est un portefeuille pour ordinateurs de bureau et appareils mobiles. Il a été ou est critiqué parce que toutes les parties du code ne sont pas open source, mais il est peu probable que le portefeuille contienne une porte dérobée d’une telle ampleur que le gouvernement américain puisse confisquer de l’argent en appuyant sur un bouton. Il est plus probable que l’accès se fasse par la confiscation d’appareils ou par un piratage.
Un coup international contre REvil
Il est possible que le portefeuille ait également fait partie d’une saisie plus vaste il y a un mois. Début novembre, le ministère américain de la Justice avait accusé un Ukrainien et un Russe d’être à l’origine d’une des pires attaques de ransomware contre des Américains.
Concrètement, il s’agissait de l’attaque du fournisseur de logiciels Kaseya en juillet par le ransomware REvil. Comme son logiciel est présent dans de nombreux systèmes, l’attaque a fait le tour du monde. Des milliers d’entreprises ont été touchées, dont par exemple toutes les coops de Suède.
Supply chain attacks continue to have a widespread impact and this is an example of how deep they can go.
800 supermarkets closed because of their POS provider’s MSP’s software provider experiencing a ransomware attack.
= A mouthful of supply chain risk. https://t.co/EdtrZF6Z0U
— Sandeep Kumar (@deepsand) July 3, 2021
L’Ukrainien Yaroslav Vasinskij a été arrêté en Pologne en octobre de cette année. Lui et son collègue russe Evgueni Polynine sont accusés de s’être introduits dans les ordinateurs des victimes et d’y avoir installé le ransomware REvil. Contrairement à Vasinskij, Polynin est toujours en liberté.
Dans le cadre de cette enquête, les autorités américaines ont confisqué des bitcoins et des Monero d’une valeur de plus de six millions de dollars, qui ont été payés en rançon. Outre le FBI, Europol et d’autres services de police ont été impliqués.
Selon Europol, deux autres personnes ont été arrêtées début novembre en Roumanie pour avoir distribué le ransomware REvil, et des fonctionnaires en Corée du Sud ont confirmé avoir arrêté trois suspects. Au total, les enquêteurs ont poursuivi 12 suspects accusés d’être responsables d’attaques de ransomware dans 71 pays.
Mais pas un crime parfait
Longtemps, les ransomwares ont été considérés comme un « crime parfait », car il semblait quasiment impossible de retrouver les auteurs. La situation semble désormais s’inverser. Du moins, les succès de l’enquête contre REvil vont dans ce sens.
L’une des raisons pourrait être que les pirates du ransomware ont dépassé les bornes. Le piratage d’un cabinet d’avocats de célébrités était déjà une raison suffisante pour que le gouvernement américain parle de « cyberterrorisme » ; les attaques continues contre les administrations municipales, les hôpitaux et les universités ont probablement eu raison de la patience des autorités ; le piratage du pipeline Colonial ainsi que de Kasey ont été les gouttes d’eau qui ont fait déborder le vase.
Le bitcoin et le darknet obligent les forces de l’ordre du monde entier à coopérer de manière supranationale. Nous connaissons déjà cette situation grâce aux succès parfois spectaculaires remportés contre les places de marché du Darknet. La police utilise désormais les ressources et les compétences acquises dans ce cadre pour lutter contre les ransomwares.
Par ailleurs, un changement de stratégie semble également prometteur. Kimberly Goody, directrice de la société de sécurité Mandiant, a expliqué qu’il pourrait être plus prometteur d’agir contre les affiliés que contre le cœur du gang des ransomwares. En effet, non seulement les affiliés sont plus proches de la scène – ce sont eux, et non les auteurs de ransomware, qui piratent les ordinateurs – mais ils sont souvent moins prudents et « leurs compétences sont plus recherchées que les logiciels de cryptage ». Certains affiliés travaillent également pour plusieurs gangs. Il se pourrait donc que les goulots d’étranglement de l’économie des ransomwares soient moins les développeurs de logiciels que les affiliés.
En effet, il semble difficile d’atteindre les auteurs des logiciels eux-mêmes. Les créateurs de REvil se sont retirés dès l’été dernier, après le piratage de Colonial Pipeline. Ils ont probablement compris qu’une limite avait été franchie.
