Les États-Unis accusent 2 grands opérateurs présumés de ransomware
WASHINGTON — Un pirate informatique ukrainien présumé a été arrêté et inculpé aux États-Unis dans le cadre d’une série d’attaques de ransomware coûteuses, dont une qui a harcelé des entreprises du monde entier le week-end du 4 juillet, ont annoncé lundi des responsables américains.
Yaroslav Vasinskyi a été arrêté le mois dernier après un voyage en Pologne, selon le ministère de la Justice, qui a également annoncé la récupération de 6,1 millions de dollars de fonds mal acquis auprès d’un ressortissant russe qui a été inculpé séparément et reste recherché par le FBI.
Les deux hommes seraient affiliés au prolifique gang de rançongiciels REvil basé en Russie, dont les attaques ont compromis des dizaines de milliers d’ordinateurs dans le monde et ont rapporté au moins 200 millions de dollars de rançons extorquées, a déclaré le procureur général Merrick Garland. Parmi les victimes figuraient le plus grand transformateur de viande au monde, JBS SA, et une société de technologie appelée Kaseya, qui a été touchée lors d’une attaque le week-end de vacances qui, selon la société, a touché entre 800 et 1 500 entreprises qui s’appuyaient sur son logiciel.
La coordination de plusieurs agences à travers l’administration Biden s’est avérée peut-être la réponse la plus médiatisée à ce jour à un blitz d’attaques de ransomware qui, selon les responsables, continue de menacer la sécurité nationale et l’économie. La sous-procureure générale Lisa Monaco a semblé préfigurer l’annonce de lundi dans une interview accordée à l’Associated Press la semaine dernière, affirmant que « dans les jours et les semaines à venir, vous allez voir plus d’arrestations » ainsi que plus de saisies de produits de ransomware illicites.
S’exprimant lors d’une conférence de presse lundi, elle a déclaré : « Nous avons utilisé tous les outils à notre disposition et tiré parti de toutes les autorités dont nous disposons pour traquer et tenir les cybercriminels responsables partout où ils cherchent à se cacher. »
L’acte d’accusation accuse Vasinskyi, 22 ans, d’avoir déployé le ransomware REvil, également connu sous le nom de Sodinokibi, contre des victimes du monde entier, y compris l’attaque massive de Kaseya. Yevgeniy Polyanin, un ressortissant russe, est inculpé dans un acte d’accusation distinct qui l’accuse d’avoir mené environ 3 000 attaques de ransomware contre des entreprises et d’autres entités à travers les États-Unis, y compris des organismes chargés de l’application des lois et des gouvernements locaux de l’État du Texas.
Les deux actes d’accusation ont été déposés devant un tribunal fédéral du district nord du Texas, un État où le ransomware REvil a compromis les réseaux informatiques d’une vingtaine d’agences gouvernementales locales à l’été 2019.
Les États-Unis demandent l’extradition de Vasinskyi de Pologne vers le Texas. Bien qu’il ait réussi à récupérer 6 millions de dollars de paiements de ransomware de Polyanin, le FBI continue de demander son arrestation, et le département d’État a annoncé lundi une récompense de 10 millions de dollars pour toute personne détenant des informations menant à la capture de tout dirigeant du groupe REvil.
Le département du Trésor, quant à lui, a annoncé des sanctions contre la paire ainsi que ce qu’il a dit être un échange de devises virtuelles, Chatex, a été utilisé par des gangs de ransomware.
Le président Joe Biden a salué les actions du gouvernement, affirmant qu’il tenait son engagement envers le dirigeant russe Vladimir Poutine selon lequel les États-Unis tiendraient les cybercriminels pour responsables. Il a déclaré que les États-Unis « mettaient toute la force du gouvernement fédéral pour perturber les cyberactivités et les acteurs malveillants » et pour « renforcer la résilience chez eux ».
L’annonce des accusations criminelles est intervenue quelques heures après que les forces de l’ordre européennes ont révélé les résultats d’une longue opération menée dans 17 pays, connue sous le nom de GoldDust. Dans le cadre de cette opération, a déclaré Europol, un total de sept pirates informatiques liés à REvil et à une autre famille de ransomwares ont été arrêtés depuis février, dont deux la semaine dernière par les autorités roumaines.
Le ministère de la Justice a essayé de multiples façons de faire face à une vague de ransomwares qu’il considère comme une menace pour la sécurité nationale et l’économie. Les arrestations de pirates étrangers sont importantes pour le ministère de la Justice, car nombre d’entre eux opèrent dans le refuge de pays qui n’extradent pas leurs propres citoyens vers les États-Unis pour y être poursuivis.
« Il y a beaucoup de raisons pour lesquelles les gens voyagent, et je ne peux pas entrer dans les raisons spécifiques pour lesquelles M. Vasinskyi a voyagé, mais nous sommes heureux qu’il l’ait fait », a déclaré lundi le directeur du FBI, Christopher Wray.
Malgré cela, la menace des ransomwares a été difficile à maîtriser. Monaco a déclaré à l’AP la semaine dernière que même depuis les avertissements de Biden à Poutine l’été dernier pour freiner les gangs de ransomware, « nous n’avons pas vu de changement important dans le paysage ».
Garland a refusé de répondre directement lorsqu’on lui a demandé s’il y avait des preuves que le gouvernement russe était au courant des activités de REvil, mais a déclaré : « nous nous attendons et espérons que tout gouvernement où résident ces acteurs de ransomware fera tout son possible pour nous fournir cette personne poursuite. »
La saisie de 6,1 millions de dollars dans cette affaire s’appuie sur un succès similaire d’il y a des mois.
En juin, le ministère de la Justice a saisi 2,3 millions de dollars en crypto-monnaie sur un paiement effectué par Colonial Pipeline à la suite d’une attaque de ransomware qui a amené l’entreprise à arrêter temporairement ses opérations, créant des pénuries de carburant dans certaines parties du pays.
——
Suderman a rapporté de Richmond, Virginie. L’écrivain Associated Press Jake Bleiberg à Dallas a contribué à ce rapport.