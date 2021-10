Vue d’ensemble : un groupe d’enquêteurs et de journalistes allemands ayant coopéré affirme avoir retrouvé un membre clé du gang de ransomware REvil, qui a été responsable d’un nombre important d’attaques cette année. On ne sait toujours pas quand ou si les enquêteurs pourront arrêter la personne en question parce qu’elle réside en Russie, un gouvernement accusé d’avoir fermé les yeux sur les gangs de ransomwares séjournant à l’intérieur de ses frontières.

Selon les rapports des agences de presse allemandes Bayerischer Rundfunk et Die Zeit, les deux hommes ont passé des mois à suivre la piste numérique de Bitcoin et des adresses e-mail pour établir une connexion entre les paiements de ransomware et quelqu’un qu’ils appellent « Nikolay K ». Vidéos sur les réseaux sociaux de sa femme « Ekaterina K. » montrez le couple en vacances en Méditerranée sur des yachts coûteux. Le propre profil de Nikolay révèle seulement qu’il gagne de l’argent en Bitcoin.

Les journalistes ont pu connecter le nom de Nikolay K. à des sites Web russes et à des numéros de téléphone connectés à un compte Telegram, qui est connecté à une adresse Bitcoin. Cette adresse Bitcoin a reçu au moins six paiements totalisant plus de 450 000 $ de comptes que Zeit dit être liés à des organisations criminelles. Les analystes des paiements Bitcoin disent à Zeit que les paiements proviennent très probablement de l’extorsion.

L’Office national de police criminelle (LKA) du Bade-Wurtemberg est également convaincu que Nikolai K. est un membre de REvil et enquête sur lui depuis une attaque de ransomware en 2019 contre un théâtre de Stuttgart. La LKA a déjà préparé un mandat d’arrêt contre Nikolai K., mais ne peut l’arrêter que s’il entre dans une entreprise disposée à coopérer avec l’Allemagne. Les vacances les plus récentes de Nikolay K. ont cependant eu lieu en Crimée, que la Russie a occupée et annexée en 2014.

Plus tôt ce mois-ci, McAfee a publié un rapport de sécurité affirmant que le logiciel de ransomware de REvil était responsable de plus de 70 % des détections de ransomware sur les 10 principaux attaquants pour le deuxième trimestre 2021.

REvil a attaqué la plate-forme de gestion informatique Kaseya cet été, affectant des centaines d’entreprises qui utilisent ses services. REvil a demandé une rançon de 70 millions de dollars pour les clés de décryptage permettant de déverrouiller les systèmes que le logiciel REvil avait cryptés.

Les groupes de sécurité ont ensuite publié ces clés gratuitement avec des instructions sur la façon de les utiliser. REvil a ensuite temporairement disparu, pour plus tard réapparaître et reprendre ses attaques en utilisant un nouveau logiciel que les anciennes clés ne peuvent pas déchiffrer. REvil aurait même volé l’argent de la rançon à des clients qui ont loué son logiciel pour leurs propres attaques.