Recevez chaque jour toute l'actualité du numérique

x

La police allemande aurait identifié l'un des cerveaux du groupe criminel REvil

Vu ailleurs Depuis plusieurs mois, les autorités allemandes enquêtent sur le groupe criminel REvil, connu pour avoir attaqué des hôpitaux, des entreprises de l'agroalimentaire... Elles auraient identifié l'un des opérateurs grâce à des flux de Bitcoin et auraient préparé un mandat d'arrêt. Or, en pratique, son arrestation semble compromise tant que le ressortissant russe ne sera pas dans un pays avec lequel l'Allemagne a signé un accord de coopération. 
Twitter Facebook Linkedin Flipboard Email
×

La police allemande aurait identifié l'un des cerveaux du groupe criminel REvil
La police allemande aurait identifié l'un des cerveaux du groupe criminel REvil © BKA

Depuis plusieurs mois, l'Office fédéral de la police criminelle (BKA) et le Baden-Württemberg LKA (police de proximité) enquêtent sur le groupe criminel REvil, à l'origine de multiples attaques par ransomware Ils auraient identifié l'un des opérateurs principaux, révèlent Die Zeit et BR24, deux médias allemands, dans des articles publiés le 28 octobre 2021.

Il s'agit de Nikolay K (le nom a été changé), un ressortissant russe, qui n'est pas un affilié mais l'une des têtes pensantes du groupe criminel, d'après les premiers éléments de l'enquête. Il a été retrouvé grâce à des flux de Bitcoin transitant vers un portefeuille numérique. 

Une arrestation compliquée
Un mandat d'arrêt a été préparé mais l'arrestation du ressortissant russe est compliquée. En effet, pour que la police puisse l'extrader, il doit se trouver dans un pays avec lequel l'Allemagne a signé un accord de coopération. Actuellement, il voyagerait entre Antalya, sur la côte sud de la Turquie, Dubaï ou encore les Maldives, d'après des photographies postées sur son compte Instagram. Les enquêteurs surveillent actuellement de près ses comptes sur les réseaux sociaux pour ne pas le perdre de vue.

La police de proximité de Baden Württemburg et le parquet compétent ont refusé de commenter l'enquête en cours. Mais certaines des personnes impliquées estiment qu'il serait au contraire important de parler du succès de l'enquête afin de démontrer que les autorités allemandes sont compétentes sur le terrain. "Cela perturbe, agit comme une dissuasion et fait peut-être que l'un ou l'autre dira à l'avenir : 'non, je ne m'impliquerai pas là-dedans'", imagine l'une des personnes impliquées dans l'enquête, citée par Die Zeit.

Un manque de coopération entre les pays
Certains enquêteurs critiqueraient le manque de coopération entre pays. Ils estiment qu'une pression politique accrue serait nécessaire pour enfin changer la situation. "S'il y avait quelqu'un qui volait ces sommes d'argent en braquant des banques, il y aurait beaucoup plus de pression. Mais le danger reste incompris", analyse un responsable.

L'Office fédéral allemand de la sécurité de l'information (BSI) classe REvil comme l'un des programmes les plus dangereux. En Allemagne, il a été utilisé en 2019 pour attaquer DRK Trägergesellschaft Süd-West, une société informatique au service des cabinets médicaux et des hôpitaux. Plusieurs cliniques du Land de Rhénanie-Palatinat, dans l'ouest de l'Allemagne, et du sud-ouest de la Sarre ont dû fermer leurs systèmes d'information provoquant des perturbations dans les opérations. 

Spécialiste du RaaS
REvil, connu également sous le nom de Sodinokibi, a été détecté pour la première fois en avril 2019, lors d'une attaque exploitant la vulnérabilité O-Day Oracle WebLogic. Les attaquants développant et commercialisant ce ransomware ont déclaré être d'anciens affiliés de GrandCrab ayant acheté le code source. REvil est vendu en tant que RaaS sur les forums cybercriminels russophones par l'identité numérique "UNKN" depuis mai 2019. 

A l’inverse de GandCrab, qui n’imposait pas de condition particulière pour adhérer à son modèle de vente, Sodinokibi a choisi de limiter fortement le nombre d’affiliés, de leur imposer un niveau d’activité élevé ainsi que d’interdire tout affilié anglophone. Le groupe derrière Sodinokibi cherche également des profils d’affiliés particuliers, notamment spécialisés dans la compromission ciblée de réseaux d’entreprises. Il est accusé d'être à l'origine de la cyberattaque du géant de la viande JBS, l'entreprise Kaseya ou encore la filiale française de Toshiba

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.