La police ukrainienne a mené cette semaine près de deux douzaines de raids visant les associés présumés d'un gang ransomware russophone qu'elle a rendu responsable d'un demi-milliard de dollars de cyberattaques et d'extorsions qui ont frappé les États-Unis et la Corée du Sud. Six personnes soupçonnées de faire partie du groupe de ransomware Cl0p ont été inculpées par les autorités. Cl0p fait partie des gangs de ransomware les plus prolifiques, connus pour extorquer les victimes en menaçant de publier les données qui leur ont été volées. Depuis le mois d'août, Cl0p a publié les noms de 65 victimes sur son site d'extorsion du dark web. Parmi les victimes de Cl0p pour cette seule année figurent l'école de médecine de l'Université de Stanford, l'Université de Californie et l'Université du Maryland.Le département de cyberpolice de la police nationale ukrainienne a confirmé que six arrestations ont été effectuées après des perquisitions dans 21 résidences de la capitale Kiev et des régions voisines. Bien qu'il ne soit pas clair si les accusés sont des affiliés ou des développeurs principaux du ransomware, ils sont accusés d'avoir mis en place un système de "double extorsion", dans lequel les victimes qui refusent de payer la rançon sont menacées par la fuite de données volées de leurs réseaux.
« Il a été établi que six accusés ont mené des attaques de logiciels malveillants de type "ransomware" sur les serveurs d'entreprises américaines et [sud] coréennes », a allégué la police nationale ukrainienne dans un communiqué publié le mercredi.
C'est la première fois qu'un organisme d'application de la loi annonce l'arrestation massive d'un groupe de pirates prolifiques qui extorquait des Américains en chiffrant les fichiers d'une organisation ou en menaçant de les divulguer au public. Le gang, connu sous le nom de Cl0p, a piraté un certain nombre de cibles américaines, dont l'Université de Miami, en Floride, l'Université de Stanford, l'Université du Maryland et l'Université du Colorado, exigeant un paiement pour que leurs systèmes restent fonctionnels ou pour ne pas publier les documents qu'ils ont pu voler.
La police a également saisi du matériel appartenant au gang du ransomware Cl0p, dont le préjudice financier total s'élèverait à environ 500 millions de dollars. Il s'agit notamment de matériel informatique, de plusieurs voitures – dont une Tesla et une Mercedes – et de 5 millions d’hryvnias ukrainiennes (environ 185 000 dollars) en espèces. Les autorités affirment également avoir réussi à mettre hors service l'infrastructure de serveurs utilisée par les membres du gang pour lancer les attaques précédentes.
« Ensemble, les forces de l'ordre ont réussi à fermer l'infrastructure à partir de laquelle le virus se propage et à bloquer les canaux de légalisation des cryptomonnaie acquises de manière criminelle », a ajouté le communiqué.
Ces attaques ont commencé en février 2019, selon KrebsOnSecurity, lorsque le groupe a attaqué quatre entreprises coréennes et a chiffré 810 services internes et ordinateurs personnels. Depuis, Cl0p a été lié à un certain nombre d'attaques par ransomware très médiatisées. Il s'agit notamment de la violation du géant pharmaceutique américain ExecuPharm en avril 2020 et de l'attaque du géant sud-coréen du commerce électronique E-Land en novembre, qui a contraint le détaillant à fermer près de la moitié de ses magasins.
Cl0p est également lié à l'attaque par ransomware et à la violation de données chez Accellion, qui a vu des pirates exploiter des failles dans le logiciel File Transfer Appliance (FTA) du fournisseur informatique pour voler les données de dizaines de ses clients. Parmi les victimes de cette violation, citons la société de télécommunications singapourienne Singtel, le cabinet d'avocats Jones Day, la chaîne de magasins d'alimentation Kroger, la société de cybersécurité Qualys et Transport for NSW.
« Le système Accellion était largement utilisé pour partager et stocker des fichiers par des organisations du monde entier, dont Transport for NSW », a déclaré l’agence du gouvernement de la Nouvelle-Galles-du-Sud. « Avant que l'attaque des serveurs d'Accellion ne soit interrompue, certaines informations de Transport for NSW ont été prises ».
Les ransomwares sont devenus une question de sécurité nationale largement débattue
Une vidéo publiée par les autorités ukrainiennes montre des officiers lourdement armés descendant dans ce qui semble être des résidences et saisissant tout, des piles d'argent liquide aux ordinateurs en passant par les voitures de luxe. Ce coup de filet intervient alors que les rançongiciels sont passés d'un problème de cybersécurité discrètement répandu à une question de sécurité nationale largement débattue, grâce à une série d'attaques très médiatisées qui ont menacé de paralyser certaines chaînes d'approvisionnement américaines.
Les gangs de ransomware les plus puissants opèrent avec la tolérance du Kremlin, basés hors de portée des forces de l'ordre occidentales. La Russie ne les poursuit pas et ne les extrade pas. L'annonce de l'Ukraine a coïncidé avec la rencontre du président Joe Biden avec le président russe Vladimir Poutine à Genève. Biden devrait faire pression sur Poutine pour qu'il prenne des mesures contre les pirates informatiques qui opèrent en toute impunité à l'intérieur des frontières russes. Changer cela était une priorité du président américain lors de leur rencontre mercredi dernier. Avant la rencontre, le président Poutine a déclaré que « La Russie est prête à extrader des cybercriminels vers les États-Unis sur une base réciproque ».
Le raid de mercredi « s'inscrit dans la continuité de la position beaucoup plus agressive adoptée par les forces de l'ordre contre les gangs de rançongiciels cette année », a déclaré Allan Liska, analyste de la société de cybersécurité Recorded Future. « On a vraiment l'impression que les forces de l'ordre ont compris comment s'attaquer au fléau des ransomwares et, espérons-le, qu'elles vont ralentir les attaques ».
Les ransomwares sont devenus un problème important aux États-Unis. De récentes attaques par ransomware ont brièvement entravé le Colonial Pipeline, qui a fermé le plus grand pipeline de carburant du pays pendant cinq jours, et JBS, l'un des plus grands fournisseurs de viande du pays. Colonial Pipeline et JBS ont dû payer la rançon respectivement aux gangs de ransomware darkside et Revil. La majorité des gangs les plus prolifiques opéreraient en Europe de l'Est, et en particulier en Russie.
Bien que Cl0p n'ait pas été le gang de ransomware le plus prolifique, il a tout de même piraté des dizaines de cibles, principalement aux États-Unis et en Corée du Sud, a déclaré Allan Liska. « Bien qu'ils ne soient pas considérés comme un acteur de premier plan en matière de ransomware, leurs méthodes étaient assez sophistiquées », a-t-il déclaré. Interpol, l'organisation internationale de police, qui participe souvent aux enquêtes sur la cybercriminalité, a déclaré avoir apporté son aide dans cette affaire, a indiqué un porte-parole.
Cl0p est-il mis hors d’état de nuire ?
Il est difficile de savoir dans quelle mesure cette opération de répression menée par les autorités ukrainiennes affectera les opérations globales du groupe CL0P. Selon la société de renseignement en cybersécurité Intel 471, les raids des forces de l'ordre en Ukraine se sont limités à l'aspect "encaissement" et "blanchiment d'argent" des activités de Cl0p.
« Nous ne pensons pas que les acteurs principaux de Cl0P aient été appréhendés, car ils vivent probablement en Russie », a déclaré Intel 471. « L'impact global sur Cl0p devrait être mineur, bien que cette attention des forces de l'ordre puisse entraîner l'abandon de la marque Cl0p, comme nous l'avons vu récemment avec d'autres groupes de ransomware tels que DarkSide et Babuk ».
Après l'attaque contre Colonial, les acteurs du ransomware Darkside ont annoncé avoir cessé leurs activités, affirmant que leur infrastructure publique a été perturbée par un organisme d'application de la loi. Les analystes de la cybersécurité rappellent toutefois que de tels retraits ne sont pas nouveaux et qu'il peut s'agir d'une ruse pour déjouer les forces de l'ordre pendant que les criminels se reconstituent et créent de nouveaux produits sous des marques différentes.
Si certaines opérations ont réussi, comme la récupération d’une partie de la rançon payée par Colonial aux cybercriminels, et que des infrastructures de ransomware ont été désactivées au cours des derniers mois, aucun caïd n'a été pris au piège.
Dans certains cas, Cl0p a extorqué des victimes avec des données qu'il n'avait peut-être pas obtenues directement, mais achetées à des cybercriminels tiers, a rapporté le Sydney Morning Herald. C'est ce que les chercheurs en sécurité soupçonnent s'être produit dans le cas des universités du Colorado et de Miami, de la société de transport ferroviaire CSX Corporation, de la chaîne d'épicerie et de pharmacie Kroger, du constructeur aéronautique canadien Bombardier et de l'éminent cabinet d'avocats Jones Day, selon le quotidien.
Les auteurs présumés risquent jusqu'à huit ans de prison pour interférence non autorisée dans le fonctionnement d'ordinateurs, de systèmes automatisés, de réseaux informatiques ou de réseaux de télécommunications et blanchiment de biens obtenus par des moyens criminels.
Source : Police d’Ukraine
Et vous ?
Que pensez-vous de cette opération de la police ukrainienne ? Ces arrestations mettent-elles Cl0p hors d’état de nuire, selon vous ? Cette première opération en Europe de l’Est pour arrêter des cybercriminels qui menacent les États-Unis est-elle le début d’une collaboration avec la région ? Voir aussi :
Le PDG de Colonial Pipeline explique pourquoi il a payé une rançon de 4,4 millions de dollars à des pirates informatiques, « C'était la bonne chose à faire pour le pays » Joe Biden publie un décret visant à renforcer les défenses américaines en matière de cybersécurité, après le piratage du Colonial Pipeline « La Russie est prête à extrader des cybercriminels vers les États-Unis sur une base réciproque », déclare Vladimir Poutine, avant le prochain échange sur la sécurité avec son homologue américain Les pirates informatiques obligent Joe Biden à adopter une position plus agressive à l'égard de la Russie, suite au piratage du géant agroalimentaire JBS 
