Cybercriminalité : que sont devenus les membres du terrible gang REvil?

En quelques mois, une série d’actions judiciaires avait mis à terre le terrible gang de hackers malveillants REvil. Un an plus tard, le bilan est contrasté. Si les cybercriminels ont bien été déstabilisés, les principaux administrateurs semblent toujours dans la nature, tandis qu’on suspecte d’anciens membres de poursuivre leurs activités.

Partager
Cybercriminalité : que sont devenus les membres du terrible gang REvil?

C’était la bonne nouvelle de janvier 2022. Le 14 janvier, le service fédéral de sécurité de la Fédération de Russie (FSB) annonçait le démantèlement du terrible gang REvil après 14 interpellations. Un soulagement : la florissante PME du cybercrime était soupçonnée d’avoir joué un rôle dans des piratages informatiques spectaculaires, du groupe agro-alimentaire JBS à l’entreprise de pharmacie Pierre Fabre.

Cette opération policière russe faisait d’ailleurs suite à plusieurs coups de boutoir contre le gang. Outre un piratage légal inattendu mené par le FBI et l’US Cyber Command, plusieurs autres arrestations majeures avaient été effectuées durant l’automne. Dont celle d’un Ukrainien de 22 ans, Yaroslav Vasinskyi, suspecté d’avoir participé à la cyberattaque géante contre la société informatique Kaseya, et extradé en mars 2022 vers les Etats-Unis. On ignore où en sont les poursuites judiciaires ouvertes contre lui.

Le blog de nouveau actif

Un an après le coup de filet de Moscou, on continue à entendre parler de REvil, mais pas dans les prétoires. Alors qu’il n’y a plus de coopération judiciaire avec les Etats-Unis ou les pays européens, l’enquête russe, selon la presse locale, n’a pas vraiment avancé. Et les principaux leaders du gang semblent avoir échappé au coup de filet policier. Un administrateur important est ainsi vraisemblablement, selon l’entreprise de cybersécurité Trellix, toujours actif sur des forums de cybercriminels.

En novembre, le nom du gang est même revenu dans les médias après l’attaque informatique menée contre le groupe australien d'assurance Medibank. Le lien ? La diffusion des données, faute d’un paiement de rançon de la part de la victime de la tentative d’extorsion, a eu lieu depuis l’ancien blog du gang.

Faut-il en déduire que le gang est toujours actif ? “C’est aller un peu trop vite”, tempère John Fokker, le chef des renseignements sur la menace du centre de recherches de l’entreprise de cybersécurité Trellix. “Cette réutilisation d’une marque grillée serait complètement contradictoire avec ce qu’ils ont fait par le passé, ajoute-t-il. On sait par exemple avec quasiment 100% de certitude que les membres de REvil étaient auparavant actifs dans le gang GandCrab.”

Un lien que les criminels avaient dissimulé, à la fin des années 2010, pour avoir les coudées franches dans leurs nouvelles activités. Pourquoi alors changer de méthode alors que le tour de passe-passe avait fait ses preuves ? Pour l’analyste de Trellix, un ancien de la cyberpolice néerlandaise, le retour en activité du blog de REvil pourrait simplement être l'œuvre de cybercriminels opportunistes capitalisant sur le nom d’un gang redouté. Autre indice troublant selon l’analyste : l’absence d’évolution significative dans les programmes malveillants utilisés, alors que le gang était doué pour innover.

Éparpillement

Ce point de vue est partagé par d’autres professionnels de la sécurité informatique

“REvil est clairement morte” en tant qu’organisation, remarque ainsi Yelisey Boguslavskiy. Mais ses anciens membres “travaillent toujours pour d’autres groupes criminels ou se sont rassemblés dans des gangs plus petits”, ajoute le directeur de la recherche de la société américaine AdvIntel.

La question d’une dissémination des forces vives de REvil s’était d’ailleurs très vite posée, en début d’année dernière. En témoignent les liens troublants observés avec Ransom Cartel. Un an plus tard, le constat n’a pas changé. “On voit des points communs entre REvil et LockBit”, souligne ainsi François Deruty, le directeur des opérations de l’entreprise française Sekoia.io. Pas étonnant : la disparition des membres et leur éparpillement dans de nouvelles activités criminelles font partie de l’ADN des gangs spécialisés dans le rançongiciel.

L'impact de la guerre en Ukraine

Le cycle de vie de ces franchises est en effet relativement court, de l’ordre de quelques années, ses développeurs se recyclant ensuite dans l’élaboration de nouveaux programmes malveillants ou devenant des affiliés des franchises les plus en vues. Mais peut-être que les choses n’ont pas été si simples que cela pour les anciens membres de REvil.

“On savait que certains de leurs développeurs étaient basés dans l’Est de l’Ukraine”, rappelle John Fokker, territoires devenus des champs de bataille. Et avant le début de la guerre qui a rebattu les cartes de ce dossier, un vent de panique avait soufflé sur les forums des cybercriminels après les opérations judiciaires. La preuve que même si des criminels ont réussi pour l’instant à prendre la poudre d’escampette, la succession de coups portés à REvil a bien fait des dégâts.

SUR LE MÊME SUJET

Sujets associés

NEWSLETTER L'Usine Digitale

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

ARTICLES LES PLUS LUS