REvil : des pirates, anciens camarades de primaire !

Les pirates informatiques du groupe REVil/Sodinokibi. Black Hat à la solde de l’armée Russe ? Voleurs 2.0  étatiques ? En fait, des potes d’écoles et de jeux vidéo, attirés par l’argent, tout simplement.

Les pirates du groupe REvil/Sodinokibi ont gagné des centaines de millions de dollars en prenant en otage les données de grandes entreprises. Après deux ans d’agression et de fanfaronnade (il avait proposé, par exemple, 1 million de dollars dans un concours numérique), une partie du groupe s’est retrouvé avec « Les Amis du Petit Déjeuner » au pied de son lit en ce 14 janvier 2022. Le FSB, les services de renseignements Russe, perquisitionnait 25 domiciles liés à 14 personnes accusés d’être derrière les attaques par ransomware. Une action à la demande des États-Unis. Huit suspects, sur les 14, ont été placés en détention.

La rumeur, très persistante et venant de source « sûre », indique que le FSB aurait réussi ce coup grâce à la mise en place d’une infiltration via le très controversé site RAMP. Un espace numérique créé, voilà quelques mois, par ce qui serait le fondateur du groupe de ransomware Babuk. Officiellement, le FSB parle d’une aide venue de leurs homologues américains. « La détention de REvil est le résultat d’un travail commencé après les négociations entre Poutine et Biden, à Genève » déclare Ekho Moskvy, l’attaché de presse du président Dmitry Peskov.

Est-ce à penser que les Russes connaissaient ces membres de REVil depuis des lustres ?

REVil : kill the devil !

D’abord, des pirates ayant tous entre 25 et 33 ans. Cinq des suspects (photo de classe retrouvée sur VK) ont étudié ensemble, dans la même école primaire.

L’un des suspects a servi dans l’armée (forces aéroportées) jusqu’au moment de son arrestation. Des traces de sa présence dans un Telegram dédié à un blackmarket Russe a été retrouvé. Mais pas de quoi faire trembler la planète numérique.

Un autre suspect possède un restaurant de vins dans le centre historique de Saint-Pétersbourg, à deux pas de la Neva, le Vincent.

Autre membre, autre style, un streamer connu sur Twitch sous le pseudonyme de Recording.

Le dernier de la bande, un informaticien de 33 ans. Connu sous le pseudonyme de Gipperion. Six codes diffusés via Pastebin. Ce dernier, Roman Gennadyevich Muromsky, a été détenu par le   tribunal Tverskoy de Moscou pendant deux mois à la demande des États-Unis. Il était soupçonné d’avoir participé à des fraudes aux moyens de paiement. Son code posté sur Pastebin, un brute-force, pour deviner des mots de passe !

Qui s’attaque à la Russie, doit s’attendre à être réveillé par la Russie

Mais il y a aussi ceux qui n’ont pas été nommés par l’enquête du FSB. Nous pouvons citer, par exemple, le résident de Barnaul Evgeny Polyanin, un homme ouvertement recherché par le FBI. Un pirate depuis l’âge de 15 ans, spécialisé dès son plus jeune âge aux arnaques liées à la pornographie en ligne, ou encore deux « riches » hommes d’affaire dans le monde du logiciel, l’autre dans les accessoires de pêche.

Le cas de Polyanin est d’ailleurs très intéressant. Le FSB n’a pas annoncé officiellement les perquisitions dans la ville de ce pirate, Barnaoul. Polyanin n’apparaît pas non plus sur la liste publique des détenus. On retrouve sa trace dans le site Carder (fermé) sous les pseudonymes de Damn et DmN. Un forum qui était dédié aux méthodes de fraude par carte de paiement. C’est la maison de Polyanin qu’il est possible de retrouver sur Google Map sous le nom de « Home of REvil « .

ZATAZ a retrouvé plusieurs de ces comptes « Adobe, Carder, … » via son adresse mail. Autant dire qu’il n’était pas très regardant sur ses mots de passe, l’un d’eux n’était rien d’autre que 1232223. Très léger pour une terreur du web !

« Même avant les arrestations en Russie, REvil n’était plus actif depuis plusieurs mois » indiquent des experts à la presse Russe. — Mais il est vraiment trop tôt pour parler de la liquidation complète de REvil. À en juger par les accusations, ce ne sont pas les développeurs du rançongiciel REvil qui ont été arrêtés, ni même les partenaires qui l’ont loué, mais les personnes impliquées dans l’encaissement des fonds.

Et pourtant, l’un des suspects détenus par le FSB pourrait être membre de Sodinokibi, impliqué dans le piratage de la compagnie américaine de pipelines Colonial Pipeline. Cela a été annoncé le 14 janvier par un représentant anonyme de haut rang de l’administration américaine.

Bref, REVil est-il vraiment mort ? Les huit personnes arrêtées semblent être encore bien loin des dangereux pirates informatiques aux commandes du ransomware éponyme, et encore moins d’être les dangereux black hat à la solde de Poutine tant dénoncée. Dernier détail, de taille : REvil n’a fondamentalement pas attaqué d’entreprises russes ce qui n’a pas empêché le FSB de leur couper les ailes !

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme commandant réserviste Cyberdéfense Hauts-de-France. Ce blog est personnel. En savoir plus : https://www.damienbancal.fr

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.