La chute du gang Darkside était-elle la première d’une longue liste ? Après leur cyberattaque contre le gestionnaire d’oléoduc Colonial Pipeline début mai, les opérateurs de ce rançongiciel ont mis fin à leur activité de façon précipitée. Et pour cause : les autorités américaines ont riposté en grande pompe. Le président Joe Biden a publiquement demandé à son homologue russe d’arrêter de protéger les cybercriminels qui s’en prennent aux entreprises de son pays. Le lendemain, le site de Darkside était retiré d’Internet par son hébergeur, et le noyau dur du groupe annonçait l’arrêt de ses activités.
Désormais, il semblerait que la Maison-Blanche soit décidée à reproduire ce succès. C’est pourquoi elle s’est prononcée au plus vite sur l’attaque rançongiciel subie par la branche américaine de JBS, le plus gros vendeur mondial de viande, déclenchée dans la nuit du 30 au 31 mai. Alors même que la victime n’utilise toujours pas le terme « rançongiciel » dans ses communiqués, l’administration américaine a déjà demandé au pouvoir russe de collaborer sur l’incident.
Peu après, le FBI a accusé publiquement le gang REvil, aussi connu sous le nom Sodinokibi, d’être à l’origine de cette nouvelle attaque. « Nous allons travailler avec diligence pour amener les acteurs malveillants face à la justice », a-t-elle menacé, rapporte The Record Media, avant d’insister sur le fait que le gang devait subir les conséquences de ses actes, et que les autres devaient ressentir le risque de leur activité.
Au lendemain de ces déclarations, la Maison-Blanche a de nouveau relancé le sujet, par la voix de sa porte-parole Jen Psaki : Joe Biden abordera la question des cyberattaques seul à seul avec Vladimir Poutine à l’occasion du sommet de Genève, le 16 juin.
REvil, un des plus gros gangs du secteur, peut-il être menacé ?
Pour mener ses menaces à exécution, les autorités américaines auront du travail. Bien qu’efficace, Darkside était un gang relativement peu connu, actif depuis peu de temps. REvil, à l’inverse, fait partie des organisations les plus réputées du milieu grâce à ses nombreux coups d’éclat ces deux dernières années. Le groupe s’était récemment vanté d’avoir collecté 100 millions de dollars de rançon sur l’année 2020. En mai de cette même année, il avait tenté de mettre aux enchères des informations de plusieurs célébrités, comme Lebron James, Donald Trump et Lady Gaga, qu’il avait dérobées à un célèbre cabinet d’avocats.
D’après plusieurs rapports d’entreprises privées, REvil dirigerait ses opérations depuis la Russie. Comme tous les plus gros gangs, c’est un ransomware-as-a-service, c’est-à-dire qu’il fournit son outil à des prestataires — des « affiliés » triés sur le volet. Ces derniers ont à charge d’infecter les victimes, puis les opérateurs de REvil gère les négociations, et partagent l’éventuel paiement de la rançon. Ils gardent entre 20 et 30% du montant pour eux et envoient le reste à leur partenaire.
REvil devait faire profil bas
Habituellement, REvil évite de s’en prendre aux victimes qui pourraient attirer une trop forte attention des forces de l’ordre. L’organisation veut simplement prospérer et gagner de l’argent. Dans le léger mouvement de panique qui a suivi le démantèlement de Darkside, les opérateurs de REvil avaient annoncé qu’ils ne collaboreraient plus qu’avec des affiliés de confiance pendant un certain temps. L’objectif : éviter qu’un hacker trop peu expérimenté s’en prenne à une organisation trop sensible et attire les foudres du pouvoir américain sur le gang. C’est raté, peut-être par méconnaissance de la place de JBS dans l’économie du pays, ou faute de jugement sur l’agressivité de la politique de l’administration Biden. Maintenant, les opérateurs n’ont plus qu’à espérer que le FBI ne parvienne pas à mener ses menaces à exécution. Le dénouement de cette histoire pourrait dépendre de la position du pouvoir russe sur le sujet.
Le Bleeping Computer explique que JBS est parvenu à restaurer ses services, et que ses usines devraient reprendre leur activité dès ce 3 juin. La multinationale affirmait que ses sauvegardes étaient intactes, et qu’elle allait s’en servir pour son retour la normale. Entre-temps, la question du paiement ou non de la rançon n’a pas été abordée publiquement.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !