Recevez chaque jour toute l'actualité du numérique

x

Des affiliés du groupe cybercriminel Sodinokibi ont été arrêtés

Un consortium de pays, chapeauté par Europol, Eurojust et Interpol, a arrêté cinq personnes liées au ransomware Sodinokibi et deux liées à GrandCrab (prédécesseur supposé de REvil). Elles auraient réussi à infecter les systèmes d'information de près de 7000 personnes. 
Twitter Facebook Linkedin Flipboard Email
×

Des affiliés du groupe cybercriminel Sodinokibi ont été arrêtés
Des affiliés du groupe cybercriminel Sodinokibi ont été arrêtés © Europol

C'est un nouveau coup de filet dans la cybercriminalité. Europol, l'agence de l'Union européenne pour la coopération des services répressifs, annonce dans un communiqué publié le 8 novembre 2021 que cinq personnes liées au ransomware Sodinokibi ont été arrêtées. Pour rappel, les affiliés sont chargés de faire pénétrer le malware, développé par les hackers d'origine, dans le système d'information des victimes. 

Une opération internationale
Ces arrestations s'inscrivent dans un effort international comprenant l'Australie, la Belgique, le Canada, la France, l'Allemagne, les Pays-Bas, le Luxembourg, la Norvège, les Philippines, la Pologne, la Roumanie, la Corée du Sud, la Suède, la Suisse, le Koweït, le Royaume-Uni ainsi que les États-Unis. Europol, Eurojust (agence européenne pour la coopération judiciaire en matière pénale) et Interpol (organisation internationale de police criminelle) ont chapeauté cette opération d'ampleur, baptisée "GoldDust".

Dans les détails, le 4 novembre 2021, les autorités roumaines ont arrêté deux individus soupçonnés d'être à l'origine de cyberattaques utilisant le ransomware Sodinokibi, connu également sous le nom de REvil. Ils seront responsables de 5000 infections au travers desquelles ils auraient empoché un demi-million d'euros sous forme de rançons.


Deux personnes liées à GrandCrab arrêtées
Cette arrestation a été précédée par une opération permettant de mettre la main en février 2021 sur trois autres affiliés à Sodinokibi. Deux suspects liés à GrandCrab, le prédécesseur supposé de REvil, ont également été arrêtés. Au total, ces personnes sont accusées d'avoir attaqué près de 7000 victimes.

REvil, connu également sous le nom de Sodinokibi, a été détecté pour la première fois en avril 2019, lors d'une attaque exploitant la vulnérabilité 0-Day Oracle WebLogic. 

Un site offrant des clés de déchiffrement
Face à cette situation critique, la France, l'Allemagne, la Roumanie, Europol et Eurojust ont renforcé leurs actions en mettant en place une équipe d'enquête commune en mai 2021. Des dispositifs d'aide aux victimes ont également été mis en place, à l'image du site No More Ransom qui propose des clés de déchiffrement.

Fin octobre 2021, on apprenait également que la police allemande avait identifié l'un des cerveaux de REvil grâce à des flux de bitcoin. Mais son arrestation semble pour l'instant compromise tant que le ressortissant russe ne sera pas dans un pays avec lequel l'Allemagne a signé un accord de coopération. 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.