Le buste Cl0p montre exactement pourquoi le ransomware ne disparaît pas

Mercredi, comme Le président des États-Unis Joe Biden et le président russe Vladimir Poutine se sont préparés à se rencontrer à Genève, les forces de l’ordre ukrainiennes ont annoncé l’arrestation de six suspects prétendument liés au célèbre groupe de ransomware Cl0p. En collaboration avec des enquêteurs sud-coréens et américains, les autorités ukrainiennes ont perquisitionné 21 résidences à Kiev et dans ses environs, ont saisi des ordinateurs, des smartphones et des serveurs et ont récupéré l’équivalent de 184 000 dollars, ce qui serait une rançon.

Les arrestations de Cl0p constituent une réussite bien trop rare alors que la crise des ransomwares continue de s’aggraver. Le groupe a fait plusieurs victimes de premier plan depuis 2019, notamment la Stanford University Medical School, l’Université de Californie et le géant sud-coréen du commerce électronique E-Land. Et les pirates semblent collaborer ou avoir des liens avec d’autres organisations cybercriminelles, notamment le groupe de crimes financiers FIN11 et l’organisation de distribution de logiciels malveillants TA505. Le processus collaboratif d’application de la loi qui a conduit au retrait, cependant, souligne également pourquoi l’arrêt de la menace plus large des ransomwares reste un rêve lointain. L’Ukraine était disposée à aider cette fois, mais tant que la Russie ne fera pas de même, très peu de choses changeront.

La majorité des acteurs des ransomwares qui ont fait des ravages ces derniers mois opèrent depuis la Russie, y compris Ryuk, qui s’est lancé dans une vague massive de piratage d’hôpitaux aux États-Unis l’année dernière, DarkSide, qui a détruit le Colonial Pipeline en mai, et REvil , qui a récemment frappé le fournisseur mondial de viande JBS et le fournisseur Apple Quanta Computer. Le ministère américain de la Justice a inculpé les acteurs russes des ransomwares mais peine à les appréhender. Et Poutine a déclaré ouvertement pendant des années – y compris une interview souvent citée en 2016 avec NBC – que tant que les cybercriminels n’enfreignent pas les lois russes, il n’a aucun intérêt à les poursuivre.

Photographie : Département de cyberpolice de la Police nationale d’Ukraine

« Si vous avez une région dans un pays où vous avez une application laxiste de la loi, bien sûr, suffisamment de gens qui veulent faire des choses illégales se présenteront là-bas », explique Craig Williams, directeur de la sensibilisation chez Cisco Talos. «Nous avons ces régions non seulement en Europe, mais dans des régions comme l’Amérique du Sud, où nous avons effectivement des refuges sûrs pour les cybercriminels. Nous nous retrouvons donc avec ce modèle d’agression qui est autorisé à être perpétré en ligne contre des entreprises privées et des civils sans vraiment aucune fin en vue. »

L’œil aveugle de la Russie sur la cybercriminalité est un problème depuis des années, mais le piratage effronté parrainé par l’État du Kremlin, de l’ingérence électorale aux vastes opérations d’espionnage, a généralement attiré plus d’attention. Au cours des 18 derniers mois, cependant, la gravité et la fréquence des attaques de ransomware dans le monde sont passées d’un problème constant à une crise urgente. Les attaques contre les infrastructures critiques et les chaînes d’approvisionnement ont brossé un tableau désastreux de la mesure dans laquelle les attaquants de ransomware iront pour gagner de l’argent.

Traquer les coupables n’est souvent pas un obstacle aussi important que de les appréhender. Les États-Unis ont inculpé plusieurs pirates informatiques basés en Russie et ont même réussi à saisir des millions de dollars de la rançon Colonial Pipeline payée. Mais agir sur la base de ces informations nécessite généralement une coopération internationale. La Russie n’a pas de traité d’extradition avec les États-Unis et semble faire tout son possible pour ne pas aider. En fait, le ministère de la Justice n’a pas pris la peine de demander l’aide des forces de l’ordre russes pour traquer les pirates informatiques du Colonial Pipeline, a déclaré John Demers, procureur général adjoint à la sécurité nationale, lors d’une conférence enregistrée le 3 juin et publiée mercredi.