Ransomware REvil : arrestations et recouvrement de 6 millions de dollars extorqués aux victimes

Les mesures prises contre les affiliés du rançongiciel REvil se sont soldées par une arrestation et le recouvrement de 6 millions de dollars extorqués aux victimes de ransomwares, a annoncé le ministre américain de la Justice au début du mois. Les autorités roumaines ont également mis en détention deux affiliés, portant à 7 le nombre d'arrestations liées à REvil.

Yaroslav Vasskyi, un ressortissant ukrainien de 22 ans, a été accusé d'attaques par ransomware contre plusieurs victimes, y compris l'attaque largement médiatisée de juillet contre plusieurs entreprises américaines.

Les autorités ont également saisi 6,1 millions de dollars en fonds traçables pour des paiements de rançon présumés reçus par Yevgeniy Polyanin, un Russe de 28 ans, qui est également accusé d'attaques REvil contre plusieurs victimes.

Par le déploiement du ransomware Sodinokibi/REvil, les accusés ont laissé des notes électroniques sous la forme d'un fichier texte sur les ordinateurs des victimes", selon le ministère américain de la Justice. « Les notes comprenaient une adresse Web menant à un réseau de confidentialité open source connu sous le nom de Tor, ainsi qu'un lien vers une adresse de site Web accessible au public que les victimes pouvaient visiter pour récupérer leurs fichiers. Lors de la visite de l'un ou l'autre site Web, les victimes ont reçu une demande de rançon et ont fourni une adresse en monnaie virtuelle à utiliser pour payer la rançon. Si une victime payait le montant de la rançon, les accusés fournissaient la clé de déchiffrement et les victimes pouvaient alors accéder à leurs fichiers. Si une victime ne payait pas la rançon, les accusés publiaient généralement les données volées des victimes ou prétendaient avoir vendu les données volées à des tiers, et les victimes n'étaient pas en mesure d'accéder à leurs fichiers.

Les 6,1 millions de dollars saisis à Polyanin seraient imputables à la fois à des attaques de ransomware et au blanchiment d'argent commis à l'aide du ransomware Sodinokibi/REvil.

Les deux cybercriminels sont inculpés dans des actes d'accusation distincts de complot en vue de commettre une fraude et d'activités connexes en rapport avec des ordinateurs, de multiples dommages aux ordinateurs protégés et de complot en vue de commettre un blanchiment d'argent. Ils risquent plus d'un siècle de prison s'ils sont reconnus coupables de tous les chefs d'accusation.

Vasinskyi a été placé en détention en Pologne où il est détenu par les autorités dans l'attente de sa demande d'extradition vers les États-Unis. Parallèlement à cette arrestation, des entretiens et des perquisitions ont été menés dans plusieurs pays qui ont abouti à l'arrestation de plusieurs autres affiliés de REvil.

Les autorités roumaines ont également arrêté deux filiales d'opération du ransomware REvil responsable de 5 000 infections. Depuis février 2021, les forces de l'ordre ont arrêté trois autres affiliés de REvil, ainsi que deux suspects de GandCrab, portant le total des arrestations à sept.