LA HAYE: Un rare coup de filet dans le monde des rançongiciels a permis d'arrêter sept pirates informatiques, dont un Ukrainien de 22 ans mis en cause dans la cyberattaque géante contre la société Kaseya en juillet, ont annoncé lundi les autorités américaines et européennes.
L'opération -- baptisée "Golddust" ou "Quicksand" -- a impliqué 17 pays et visait le groupe de hackers russophones REvil, parfois appelé Sodinokibi, et le groupe de rançongiciels GandCrab, a détaillé Europol dans un communiqué.
Les personnes interpellées sont soupçonnées d'avoir mené "environ 7.000 infections" dans le monde entier avec des logiciels cryptant les données de leurs cibles, et d'avoir "demandé plus de 200 millions d'euros de rançons" en échange de la clé de déchiffrement, a ajouté l'agence européenne de police.
La prise principale de l'opération s'appelle Iaroslav Vasinski, alias Robotnik. Cet Ukrainien est accusé d'avoir attaqué la société informatique américaine Kaseya, le 2 juillet, affectant un millier de ses clients, y compris la chaîne de supermarchés Coop en Suède dont les magasins sont restés fermés pendant plusieurs jours.
Le jeune homme a été arrêté le 8 octobre en Pologne à la demande des Etats-Unis. "Nous avons demandé qu'il soit extradé en vertu du traité qui lie nos deux pays", a déclaré le ministre américain de la Justice Merrick Garland lors d'une conférence de presse.
Deux autres hackers, souçonnés d'avoir fait 5.000 victimes et d'avoir empoché un demi-million d'euros de rançons, ont pour leur part été arrêtés jeudi en Roumanie. Un autre a été interpellé au Koweït et trois en Corée du Sud, selon Interpol.
La justice américaine a par ailleurs annoncé la saisie de 6,1 millions de dollars en cryptomonnaie, correspondant à des sommes extorquées par un autre membre du groupe REvil -- le Russe Evguéni Polianine, 28 ans -- lors de 3.000 attaques menées aux Etats-Unis, notamment en août 2019 au Texas, a précisé le ministre.
Inculpé aux Etats-Unis, il se trouve probablement en Russie, peut-être à Barnaul en Sibérie, selon un avis de recherches publié par la police fédérale américaine.
« Menace trop importante »
En parallèle, et pour la seconde fois uniquement, les autorités américaines ont annoncé des sanctions contre une plateforme d'échanges de cryptomonnaies baptisée Chatex, soupçonnée d'avoir été utilisée dans des attaques au rançongiciel.
De plus, le département d'Etat a offert des récompenses allant jusqu'à 10 millions de dollars pour toute information qui permettrait de localiser ou d'identifier les leaders du groupe REvil.
Le président démocrate Joe Biden a "loué" ces efforts, assurant dans un communiqué avoir fait de la cybersécurité une de ses "priorités".
Il a rappelé en avoir discuté en juin à Genève avec le président russe Vladimir Poutine, dont le pays est accusé d'offrir un havre aux hackers: "J'avais dit clairement que les Etats-Unis agiraient pour que ces cybercriminels soient tenus responsables, c'est ce que nous avons fait aujourd'hui."
Le secrétaire général d'Interpol, Jürgen Stock, a pour sa part souligné l'importance de la coopération internationale. "Les rançongiciels sont devenus une menace trop importante pour qu'une entité ou un secteur puisse y faire face seul", a-t-il estimé dans un communiqué.
« Pas dans la bonne direction »
Les attaques au rançongiciel, ransomware en anglais, sont une forme de plus en plus lucrative de prise d'otages numérique et leur impact, estimé à plusieurs milliards de dollars par Interpol, ne cesse de s'alourdir.
Selon le Trésor américain, 590 millions de dollars de rançons ont été versées rien qu'aux Etats-Unis au premier semestre 2021, contre 416 en 2020.
"Le nombre d'arrestations et les fonds saisis sont relativement faibles rapportés au nombre d'attaques qui ont lieu chaque semaine", a souligné Chris Morgan, analyste au sein du groupe californien de sécurité numérique Digital Shadows. "Il représente toutefois un pas dans la bonne direction et un mode d'emploi que les autorités ont intérêt à poursuivre."
REvil est considéré par des experts comme le groupe de cybercriminels le plus redoutable en matière de rançongiciels et vu comme le successeur de GandCrab.
Des questions sur son sort ont été soulevées en juillet lorsque, deux semaines après l'attaque contre Kaseya, plusieurs sites et pages liés à ce groupe ont brusquement disparu d'internet. Cette fermeture a suscité des conjectures quant à savoir si cette décision était le résultat d'une action gouvernementale.