REvil a réalisé a gros coup en déployant son rançongiciel sur les systèmes du géant de l'industrie agroalimentaire JBS. Le problème pour eux ? Le coup est tellement gros qu'il a attiré l'attention des plus hautes sphères du pouvoir américain. Résultat, le FBI a annoncé qu'il concentrerait ses efforts pour traîner les membres du gang face à la justice.

La chute du gang Darkside était-elle la première d’une longue liste ? Après leur cyberattaque contre le gestionnaire d’oléoduc Colonial Pipeline début mai, les opérateurs de ce rançongiciel ont mis fin à leur activité de façon précipitée. Et pour cause : les autorités américaines ont riposté en grande pompe. Le président Joe Biden a publiquement demandé à son homologue russe d’arrêter de protéger les cybercriminels qui s’en prennent aux entreprises de son pays. Le lendemain, le site de Darkside était retiré d’Internet par son hébergeur, et le noyau dur du groupe annonçait l’arrêt de ses activités.

Désormais, il semblerait que la Maison-Blanche soit décidée à reproduire ce succès. C’est pourquoi elle s’est prononcée au plus vite sur l’attaque rançongiciel subie par la branche américaine de JBS, le plus gros vendeur mondial de viande, déclenchée dans la nuit du 30 au 31 mai. Alors même que la victime n’utilise toujours pas le terme « rançongiciel » dans ses communiqués, l’administration américaine a déjà demandé au pouvoir russe de collaborer sur l’incident.

L’administration Joe Biden a adopté une ligne agressive sur le sujet des cyberattaques. // Source : CCO/Gage Skidmore

Peu après, le FBI a accusé publiquement le gang REvil, aussi connu sous le nom Sodinokibi, d’être à l’origine de cette nouvelle attaque. « Nous allons travailler avec diligence pour amener les acteurs malveillants face à la justice », a-t-elle menacé, rapporte The Record Media, avant d’insister sur le fait que le gang devait subir les conséquences de ses actes, et que les autres devaient ressentir le risque de leur activité.

Au lendemain de ces déclarations, la Maison-Blanche a de nouveau relancé le sujet, par la voix de sa porte-parole Jen Psaki : Joe Biden abordera la question des cyberattaques seul à seul avec Vladimir Poutine à l’occasion du sommet de Genève, le 16 juin.

REvil, un des plus gros gangs du secteur, peut-il être menacé ?

Pour mener ses menaces à exécution, les autorités américaines auront du travail. Bien qu’efficace, Darkside était un gang relativement peu connu, actif depuis peu de temps. REvil, à l’inverse, fait partie des organisations les plus réputées du milieu grâce à ses nombreux coups d’éclat ces deux dernières années. Le groupe s’était récemment vanté d’avoir collecté 100 millions de dollars de rançon sur l’année 2020. En mai de cette même année, il avait tenté de mettre aux enchères des informations de plusieurs célébrités, comme Lebron James, Donald Trump et Lady Gaga, qu’il avait dérobées à un célèbre cabinet d’avocats.

D’après plusieurs rapports d’entreprises privées, REvil dirigerait ses opérations depuis la Russie. Comme tous les plus gros gangs, c’est un ransomware-as-a-service, c’est-à-dire qu’il fournit son outil à des prestataires — des « affiliés » triés sur le volet. Ces derniers ont à charge d’infecter les victimes, puis les opérateurs de REvil gère les négociations, et partagent l’éventuel paiement de la rançon. Ils gardent entre 20 et 30 % du montant pour eux et envoient le reste à leur partenaire.

REvil devait faire profil bas

Habituellement, REvil évite de s’en prendre aux victimes qui pourraient attirer une trop forte attention des forces de l’ordre. L’organisation veut simplement prospérer et gagner de l’argent. Dans le léger mouvement de panique qui a suivi le démantèlement de Darkside, les opérateurs de REvil avaient annoncé qu’ils ne collaboreraient plus qu’avec des affiliés de confiance pendant un certain temps. L’objectif : éviter qu’un hacker trop peu expérimenté s’en prenne à une organisation trop sensible et attire les foudres du pouvoir américain sur le gang. C’est raté, peut-être par méconnaissance de la place de JBS dans l’économie du pays, ou faute de jugement sur l’agressivité de la politique de l’administration Biden. Maintenant, les opérateurs n’ont plus qu’à espérer que le FBI ne parvienne pas à mener ses menaces à exécution. Le dénouement de cette histoire pourrait dépendre de la position du pouvoir russe sur le sujet.

Le Bleeping Computer explique que JBS est parvenu à restaurer ses services, et que ses usines devraient reprendre leur activité dès ce 3 juin. La multinationale affirmait que ses sauvegardes étaient intactes, et qu’elle allait s’en servir pour son retour la normale. Entre-temps, la question du paiement ou non de la rançon n’a pas été abordée publiquement.

Crédit photo de la une : Louise Audry pour Numerama

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux