Publié le 03 juin 2021 à 11h45

Après l’attaque de trop, les USA partent à la chasse d’un des plus gros gangs rançongiciel

Temps de lecture : 3 min

La chute du gang Darkside était-elle la première d’une longue liste ? Après leur cyberattaque contre le gestionnaire d’oléoduc Colonial Pipeline début mai, les opérateurs de ce rançongiciel ont mis fin à leur activité de façon précipitée. Et pour cause : les autorités américaines ont riposté en grande pompe. Le président Joe Biden a publiquement demandé à son homologue russe d’arrêter de protéger les cybercriminels qui s’en prennent aux entreprises de son pays. Le lendemain, le site de Darkside était retiré d’Internet par son hébergeur, et le noyau dur du groupe annonçait l’arrêt de ses activités.

Désormais, il semblerait que la Maison-Blanche soit décidée à reproduire ce succès. C’est pourquoi elle s’est prononcée au plus vite sur l’attaque rançongiciel subie par la branche américaine de JBS, le plus gros vendeur mondial de viande, déclenchée dans la nuit du 30 au 31 mai. Alors même que la victime n’utilise toujours pas le terme « rançongiciel » dans ses communiqués, l’administration américaine a déjà demandé au pouvoir russe de collaborer sur l’incident.

L’administration Joe Biden a adopté une ligne agressive sur le sujet des cyberattaques. // Source : CCO/Gage Skidmore

Peu après, le FBI a accusé publiquement le gang REvil, aussi connu sous le nom Sodinokibi, d’être à l’origine de cette nouvelle attaque. « Nous allons travailler avec diligence pour amener les acteurs malveillants face à la justice », a-t-elle menacé, rapporte The Record Media, avant d’insister sur le fait que le gang devait subir les conséquences de ses actes, et que les autres devaient ressentir le risque de leur activité.

Au lendemain de ces déclarations, la Maison-Blanche a de nouveau relancé le sujet, par la voix de sa porte-parole Jen Psaki : Joe Biden abordera la question des cyberattaques seul à seul avec Vladimir Poutine à l’occasion du sommet de Genève, le 16 juin.

REvil, un des plus gros gangs du secteur, peut-il être menacé ?

Pour mener ses menaces à exécution, les autorités américaines auront du travail. Bien qu’efficace, Darkside était un gang relativement peu connu, actif depuis peu de temps. REvil, à l’inverse, fait partie des organisations les plus réputées du milieu grâce à ses nombreux coups d’éclat ces deux dernières années. Le groupe s’était récemment vanté d’avoir collecté 100 millions de dollars de rançon sur l’année 2020. En mai de cette même année, il avait tenté de mettre aux enchères des informations de plusieurs célébrités, comme Lebron James, Donald Trump et Lady Gaga, qu’il avait dérobées à un célèbre cabinet d’avocats.

D’après plusieurs rapports d’entreprises privées, REvil dirigerait ses opérations depuis la Russie. Comme tous les plus gros gangs, c’est un ransomware-as-a-service, c’est-à-dire qu’il fournit son outil à des prestataires — des « affiliés » triés sur le volet. Ces derniers ont à charge d’infecter les victimes, puis les opérateurs de REvil gère les négociations, et partagent l’éventuel paiement de la rançon. Ils gardent entre 20 et 30% du montant pour eux et envoient le reste à leur partenaire.

REvil devait faire profil bas

Habituellement, REvil évite de s’en prendre aux victimes qui pourraient attirer une trop forte attention des forces de l’ordre. L’organisation veut simplement prospérer et gagner de l’argent. Dans le léger mouvement de panique qui a suivi le démantèlement de Darkside, les opérateurs de REvil avaient annoncé qu’ils ne collaboreraient plus qu’avec des affiliés de confiance pendant un certain temps. L’objectif : éviter qu’un hacker trop peu expérimenté s’en prenne à une organisation trop sensible et attire les foudres du pouvoir américain sur le gang. C’est raté, peut-être par méconnaissance de la place de JBS dans l’économie du pays, ou faute de jugement sur l’agressivité de la politique de l’administration Biden. Maintenant, les opérateurs n’ont plus qu’à espérer que le FBI ne parvienne pas à mener ses menaces à exécution. Le dénouement de cette histoire pourrait dépendre de la position du pouvoir russe sur le sujet.

Le Bleeping Computer explique que JBS est parvenu à restaurer ses services, et que ses usines devraient reprendre leur activité dès ce 3 juin. La multinationale affirmait que ses sauvegardes étaient intactes, et qu’elle allait s’en servir pour son retour la normale. Entre-temps, la question du paiement ou non de la rançon n’a pas été abordée publiquement.

Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !

Crédit photo de la une : Louise Audry pour Numerama

Signaler une erreur dans le texte

Partager l'article

Sur le même thème

Rejoignez la révolution voiture électrique avec la newsletter Watt Else par Numerama !

Des pirates tentent de faire chanter Reddit en plein bras de fer avec les internautes

Les données de sécurité sociale peuvent être réutilisées par les pirates. // Source : Numerama

Cyberattaque contre Viamedis, Almerys : Que peuvent faire les hackers avec votre numéro de sécurité sociale ?

Les hackers de Medusa sont à l'origine des cyberattaque contre des communes françaises. // Source : Numerama avec Midjourney

Qui est Medusa, le groupe de hackers derrière la cyberattaque de Betton (Ille-et-Vilaine)

L'ASVEL est un célèbre club de basket français. // Source : Wikimedia Commons

L’ASVEL, le club de basket de Tony Parker, est touché par une cyberattaque

Les hackers de ALPHV Blackat ont publié des images et un long message pour se moquer de VF Corporation maison mère de North Face, Vans, Supreme. // Source : ALPHV

Des hackers piratent le propriétaire de North Face et Vans et humilient ses dirigeants

Les derniers articles cyberguerre

Les hackers du Kremlin tiennent des chaînes Telegram ultra-nationalites russes sur lesquelles ils revendiquent des cyberattaques. // Source : Numerama avec Midjourney

cyberguerre géopolitique

Des hackers « chiens fous » de Poutine se lancent dans des cyberattaques contre les infrastructures énergétiques

19.04.2024 18:14

Prudence

Une attaque par phishing tente de piéger les internautes sur LastPass

19.04.2024 16:40

Le renseignement russe a développé de nouveaux logiciels. // Source : Numerama avec midjourney

cyberguerre géopolitique

« Kapeka », un nouveau logiciel malveillant du renseignement russe, a été repéré

17.04.2024 13:07

Les sociétés de logiciel espion travaillent sur des programmes de pubs malveillantes. // Source : Numerama avec midjourney

cyberguerre hygiène numérique

Cliquer sur une pub en ligne pourrait installer un logiciel espion sur votre smartphone

16.04.2024 11:55

Des données étaient laissées sans protection sur le site de Bouygues Telecom. // Source : Pixabay / typographyimages

tech smartphone apple iphone

Voici le message que vous recevrez si votre iPhone est infecté par un logiciel espion

12.04.2024 10:17

Le Parc des Princes, le stade du PSG. // Source : Numerama

cyberguerre cybercriminalité

La billetterie du PSG a été piratée

09.04.2024 17:45

Le message des hackers turcs laissé sur le site du CERC // Source : Capture d'écran Numerama

cyberguerre cybercriminalité

Qui sont les hackers turcs responsables du piratage d’un site gouvernemental français ?

08.04.2024 17:34

Les hackers vont fouiller dans l'organisation de l'entreprise pour piéger de employés précis. // Source : Numerama avec Midjourney

cyberguerre cybercriminalité

Qui est la cible favorite des hackers parmi vos collègues

07.04.2024 12:59

« Code vestimentaire : Business Smart »

Des hackers pro-russes ont ciblé les ministères. // Source : Numerama avec Midjourney

Les hackers du Kremlin envoient une fausse invitation à diner à la sphère politique allemande

05.04.2024 19:20

Google Chrome est victime de nombreux vol de cookie d'authentification. // Source : deepanker70

cyberguerre hygiène numérique

Google veut mettre fin au vol de cookie sur Chrome avec une nouvelle fonctionnalité

03.04.2024 13:32