Débandade dans le milieu cybercriminel. En l'espace de deux semaines, deux des gangs les plus en vue, REvil et DarkMatter, ont mis la clé sous la porte. En cause : la pression directe et indirecte des forces de l'ordre internationales sur leurs affaires, alors que jusqu'ici, ils n'étaient que peu inquiétés. Ces deux organisations opèrent des rançongiciels, des logiciels malveillants capables de paralyser le système informatique de leurs victimes, dans l'unique objectif de les pousser à payer une rançon en échange du déblocage.
Danger numéro 1 pour les entreprises, cette menace rançongiciel ne cesse de croître, à la faveur d'un cercle vicieux : des victimes paient, et les malfaiteurs réinvestissent une partie du montant pour augmenter leur force de frappe afin de toucher des cibles toujours plus grosses et plus nombreuses. Rien que sur la première moitié de l'année 2021, le Trésor américain estime à 600 millions de dollars (518 millions d'euros) le montant des rançons payées.
Cette dynamique a mené à un pic de cyberattaques en mai 2021, avec trois exemples retentissants coup sur coup : contre le gestionnaire d'oléoduc Colonial Pipeline, contre le producteur de viande JBS, puis contre l'éditeur de logiciel Kaseya. En conséquence, le président américain Joe Biden est lui-même monté au créneau à plusieurs reprises. Son administration avait déjà initié un virage stratégique contre les gang, avec notamment la création d'une force dédiée à la lutte contre les rançongiciels. Les trois cyberattaques ont été l'occasion de contre-attaquer à un niveau jamais vu auparavant. De quoi montrer aux cybercriminels qu'ils ne resteront pas impunis.
Disparaître pour mieux réapparaître
Premier gang à tomber : REvil, qui s'était illustré par les attaques contre JBS puis Kaseya. Le groupe avait fait profil bas après cette dernière, et désactivé son infrastructure dès juillet, de sa propre initiative. Il a finalement réapparu en septembre et recommencé ses méfaits. Mais comme l'a rapporté Reuters, les forces de l'ordre américaines ont alors hacké les nouveaux serveurs de REvil, et l'ont renvoyé à la retraite.
« Par le passé, on n'avait pas ce réflexe du hack back [contre-attaque cyber, ndlr], car tout le débat, c'est que les "gentils" doivent agir légalement. Si, comme les Américains, on associe les actes cybercriminels à des actes terroristes, on justifie le déploiement de moyens plus conséquents pour lutter contre et on s'inscrit dans un cadre différent », constate Nicolas Casimir, RSSI de la région EMEA chez Zscaler.
Peut-on pour autant parler d'un clap de fin pour le gang ? Oui et non. Oui, car les autorités ont saisi les serveurs du groupe, et que ses porte-paroles ont annoncé qu'ils repassaient dans l'ombre. Autrement dit, plus aucune attaque ne devrait être signée REvil. Non, car les autorités n'ont pas écroué les opérateurs du rançongiciel, basés en Russie. Résultat, ils ont pu rebondir.
« Habituellement, quand une organisation cybercriminelle se fait démanteler, elle réapparaît un peu plus tard avec un autre nom, d'autres serveurs, mais une même base technique » développe Nicolas Casimir. Pas de surprise donc, lorsque dans le mois suivant les premières disparitions de DarkSide et REvil, un nouveau groupe, nommé BlackMatter, est apparu.
« Dans sa structure, BlackMatter ressemble à une version améliorée de REvil. Et comme la clé de registre de leur rançongiciel est la même que celle de Sodinokibi [l'autre nom de REvil, ndlr], nous pouvons conclure qu'il s'agit du même groupe », rapporte de son côté Snir Ben Shimol, directeur de la cybersécurité de Varonis. Plus précisément, l'organisation de BlackMatter ne serait pas un copié-collé de celle de REvil, mais plutôt une association entre anciens de REvil et de DarkSide. Ce jeu de poupées russes n'en est pas à ses débuts : les créateurs de REvil étaient eux-mêmes d'anciens de Gandcrab, un des groupes les plus actifs avant 2019.
Avec leurs changements d'identité, les cybercriminels se pensaient hors d'atteinte. Mais le piratage inédit des infrastructures de REvil a suffit à semer un vent de panique au sein de BlackMatter. Dans un message du 1 novembre traduit par The Record, les membres du gang expliquent sa fermeture : « en raison de certains circonstance insolvables associées à la pression des autorités (une partie de l'équipe n'est plus disponible, après les dernières nouvelles), le projet est fermé. Dans 48h, toute l'infrastructure sera éteinte. » Un point reste flou : le groupe fait-il seulement référence à la pression du pouvoir américain où a-t-il aussi été inquiété par les autorités du pays d'où il opère, la Russie ?
Le noyau des gang toujours hors de portée
Le constat, jusqu'à ces derniers événements, était accablant : les cybercriminels n'avaient qu'à changer l'enrobage de leur offre criminelle pour repartir de l'avant. Cette flexibilité provient de leur modèle de fonctionnement : le ransomware-as-a-service. Concrètement, les membres du noyau dur du gang, aussi appelés opérateurs, développent le logiciel malveillant, et l'infrastructure nécessaire au rançonnage.
Les opérateurs ne se salissent pas les mains, il se contentent de fournir les outils à des hackers partenaires, appelés affiliés dans le jargon. Ces individus recrutés par de petites annonces sur des forums de hackers se chargent de lancer les attaques et de déployer les rançongiciels. En cas de réussite de la cyberattaque, les opérateurs s'occuperont de la négociation de la rançon, et si la victime paie, ils partageront entre 60 et 70% du montant avec leur affilié.
Quand les forces de l'ordre parviennent à arrêter des cybercriminels impliqués dans les attaques rançongiciel, il s'agit quasi systématiquement d'affiliés, bien plus exposés que les opérateurs. Dernier exemple en date, rapporté par le Parisien : fin octobre, une enquête sur deux ans menée par Europol a mené à l'arrestation de 12 cybercriminels en Suisse et en Ukraine. Ces affiliés avaient touché plus de 1.800 victimes, pour le compte d'au moins trois gangs différents. Ce genre de coup de filet réduit la main d'œuvre à disposition des gangs, mais il n'affecte pas leur noyau.
Pour viser le cœur des organisations, les autorités se confrontent à l'absence de coopération de certains pays, comme la Russie, où vivent les opérateurs. Lors des attaques contre Colonial Pipeline et JBS, Joe Biden avait a plusieurs reprises appelé Moscou à prendre ses responsabilités. Il était même allé jusqu'à discuter du sujet avec Vladimir Poutine à l'occasion du G7. Les deux hommes auraient alors trouvé un accord sur une forme de coopération dont on ne connaît pour l'instant ni les contours ni la date de mise en place. La fermeture de BlackMatter et le hack de REvil suggèrent une éventuelle coopération, mais cette théorie reste de l'ordre de la spéculation.
Les opérateurs paraissent donc hors d'atteinte pour l'instant, ce qui n'a pas empêché les autorités allemandes de réussir un coup rare. Comme le rapporte Zeit Online, elles ont identifié un individu qu'elles pensent être au centre de REvil. Elles surveillent désormais son activité dans l'espoir qu'il sorte du territoire russe pour l'arrêter. L'opérateur se trouve ainsi condamné à rester en Russie - où il vit tout de même un train de vie de luxe - s'il veut échapper aux autorités.
Les autorités peuvent lutter
Même sans aller jusqu'à arrêter les chefs des organisations cybercriminelles, certains experts sont persuadés qu'il existe d'autres méthodes offensives pour lutter contre les gangs, à condition de changer les mentalités des entreprises.
« Quand des entreprises comme la nôtre interviennent, nous pouvons identifier le domaine d'où provient l'attaque. Mais lorsque nous demandons aux clients si nous pouvons impliquer les autorités, la plupart répondent "non". Ils craignent d'être vu comme un suspect », constate Snir Ben Shimol, qui intervient régulièrement sur des incidents avec Varonis.
Avec le règlement général sur la protection des données (le fameux RGPD) ou son équivalent californien, l'entreprise qui subit l'attaque n'endosse pas seulement le statut de victime, elle peut aussi être jugée responsable. Les régulateurs - par exemple la Cnil en France - vont s'intéresser à la façon dont elle a protégé les données personnelles de ses utilisateurs. Dans le cas où l'entreprise aurait failli à déployer un minimum de précautions, elle pourrait se faire sanctionner d'une amende.
« Les victimes ont peur de faire rentrer le régulateur sur leur système d'information et de recevoir une amende en plus des coûts causés par l'attaque. C'est un problème car si les autorités étaient impliquées suffisamment tôt dans les réponses aux attaques, les cybercriminels rencontreraient beaucoup plus de difficultés », affirme le dirigeant de Varonis. Pour lui, les forces de l'ordre seraient capables de démonter une partie des infrastructures utilisées par les attaquants sous 48 heures, du moins aux Etats-Unis.
Des arrestations ponctuelles ou une tendance de fond ?
Ce n'est pas pour rien si l'attaque contre le gestionnaire d'oléoduc Colonial Pipeline en mai a déclenché le cycle de représailles des autorités américaines contre les gangs. L'entreprise, responsable de prêt de la moitié de l'approvisionnement en pétrole de la côte Est, rentre dans la catégorie des « infrastructures critiques ». Or, dans ce genre de cas le gouvernement ne laisse pas de choix à la victime, il se mêle de force à l'incident, se justifiant par l'intérêt de l'Etat, voire la mise en danger de la sécurité nationale.
Darkside, le responsable de l'attaque, a eu conscience de s'être aventuré trop loin, et ses opérateurs ont fermé boutique avant de se faire attraper par la patrouille. Mais les forces de l'ordre ont tout de même réussi à agir avec une rapidité inédite : en moins d'une semaine, elles ont intercepté le transit des données dérobés sur un serveur américain, et même récupéré une partie de la rançon, stockée dans un porte-feuille de cryptomonnaies. Cette démonstration de force a exposé l'étendue des capacités d'action étatique dans des proportions jamais vues.
D'ailleurs, les autorités ne veulent pas en rester là : le ministère des Affaires étrangères américain a publié le 4 novembre une proposition de prime de 10 millions de dollars en échange d'information sur les membres de Darkside. Reste à voir désormais si REvil, Darkside et BlackMatter ne seront que des exemples isolés, ou si les autorités ont désormais les capacité de mettre fin à l'impunité de toute l'industrie rançongiciel.
« Quand nous mettrons le pied sur l'accélérateur, nous serons difficiles à égaler » (Joelle Pineau, directrice de la recherche en IA chez Meta)
Sujets les + commentés