From the shadows: The pursuit of ransomware attackers

• Les auteurs de ransomware dissimulent leur identité derrière des couches de chiffrement, des VPN et des réseaux Tor, ce qui complique les efforts d'identification.
• Les différences entre les cadres juridiques, les protocoles diplomatiques et les procédures d'extradition d'un pays à l'autre entravent une collaboration fluide entre les services répressifs.
• Les attaquants de ransomware utilisent des tactiques sophistiquées, notamment des exploits zero-day et des malwares polymorphes, pour échapper à la détection.

Les attaques par ransomware sont devenues une menace omniprésente dans le paysage numérique actuel, ciblant les particuliers, les entreprises et les entités gouvernementales avec des conséquences dévastatrices. Malgré les efforts des forces de l'ordre et des experts en cybersécurité pour lutter contre ces cybercrimes, capturer les auteurs de ransomware reste un défi de taille. Voir aussi: Ziggo Group nomme ses dirigeants avant l'introduction en Bourse à Amsterdam en 2027.

Qu'est-ce qu'un ransomware ?

Ransomware, une forme de logiciel malveillant, est conçu pour dérober et chiffrer des fichiers, des données sensibles ou des informations personnelles identifiables (PII), les rendant inaccessibles aux victimes à moins qu'une rançon ne soit payée. Exploitant des tactiques d'extorsion, les auteurs de ransomware ciblent généralement les individus ou les organisations ayant des mesures de sécurité laxistes ou des vulnérabilités non corrigées, injectant des logiciels malveillants dans leurs ordinateurs ou appareils mobiles pour exécuter la charge utile du ransomware.

Récupérer des fichiers chiffrés sans clé de déchiffrement est extrêmement difficile, ce qui entraîne de graves conséquences pour les entreprises qui dépendent des données chiffrées pour leurs opérations quotidiennes. Le non-respect des demandes de rançon dans un délai imparti peut entraîner la perte permanente de fichiers ou leur exposition publique. Voir aussi: Alejandro Estua.

Actuellement, de nombreux cybercriminels exigent des cryptomonnaies comme le Bitcoin pour les paiements de rançon, tirant parti de sa nature décentralisée pour dissimuler les transactions financières. Malgré les difficultés liées au suivi des paiements de rançon sur la blockchain, cela reste possible. Voir aussi: Alejandro Manzo.

À lire également: 5 principaux types d'attaques par ransomware

Pourquoi est-il si difficile de capturer les auteurs de ransomware ?

Les attaquants de ransomware opèrent souvent de manière anonyme, dissimulant leur identité derrière des couches de chiffrement et des technologies d'anonymisation telles que les réseaux privés virtuels (VPN) et les réseaux Tor. L'utilisation de cryptomonnaies pour les paiements de rançon ajoute une couche supplémentaire d'anonymat, rendant difficile la traçabilité des transactions financières et l'identification des auteurs. Voir aussi: Alejandro Hernandez.

Les attaques par ransomware proviennent souvent de juridictions étrangères, ce qui complique le processus d'enquête en raison des défis juridictionnels internationaux. Les obstacles juridiques, les protocoles diplomatiques et les différences entre les cadres juridiques des pays entravent l'extradition des suspects et la coordination entre les services répressifs. Voir aussi: Alejandro Garza.

Les attaquants de ransomware utilisent des tactiques sophistiquées pour échapper à la détection, notamment des exploits zero-day, des malwares polymorphes et des techniques d'ingénierie sociale. Les méthodes de chiffrement avancées rendent difficile pour les experts en cybersécurité de déchiffrer les fichiers ou d'identifier les vulnérabilités dans le code malveillant, ce qui prolonge le processus d'enquête. Voir aussi: Alejandro Guerrero.

À lire également: Conséquences à connaître des attaques par ransomware

Les auteurs de ransomware sont-ils arrêtés ?

Europol, en collaboration avec des agences internationales de lutte contre la criminalité, a démantelé un réseau de cybercriminels responsable de nombreuses attaques par ransomware depuis 2019, ciblant plus de 1 800 victimes dans 71 pays. Après une enquête de deux ans, en 2021, des descentes en Ukraine et en Suisse ont visé 12 personnes associées à ces attaques. Les criminels, connus pour cibler de grandes entreprises, utilisaient des souches de ransomware telles que LockerGoga, MegaCortex et Dharma, ainsi que des logiciels malveillants comme TrickBot et des outils de post-exploitation pour échapper à la détection et exploiter les vulnérabilités des réseaux informatiques. Europol a saisi 52 000 dollars en espèces et cinq véhicules de luxe appartenant au groupe.

Fin 2021, le Département de la Justice des États-Unis a pris des mesures contre deux ressortissants étrangers impliqués dans le déploiement du ransomware Sodinokibi/REvil, les accusant d'avoir mené des attaques contre des entreprises et des entités gouvernementales. Yaroslav Vasinskyi, un ressortissant ukrainien de 22 ans, a été inculpé pour avoir mené des attaques par ransomware, y compris l'attaque Kaseya de juillet 2021.

De plus, 6,1 millions de dollars de fonds liés aux paiements de rançon reçus par Yevgeniy Polyanin, un ressortissant russe de 28 ans, ont été saisis. Les deux accusés font face à des accusations de complot en vue de commettre une fraude, de dommages à des ordinateurs protégés et de blanchiment d'argent. Vasinskyi a été arrêté en Pologne en attendant son extradition vers les États-Unis, tandis que Polyanin reste à l'étranger. Voir aussi: Alec Gramont.

Et en mai 2024, Vasinskyi a été condamné à plus de 13 ans de prison au Texas.

À lire également: Les 5 plus grandes attaques par ransomware de l'histoire

En février 2024, un effort mondial coordonné des forces de l'ordre a conduit au démantèlement du célèbre groupe de ransomware LockBit, avec l'arrestation de deux individus et la saisie de 200 comptes de cryptomonnaie. Menée par la National Crime Agency (NCA) britannique, l'opération a ciblé LockBit, réputé pour fournir des services de ransomware à des affiliés chargés d'infecter les réseaux des victimes.

Les polices polonaise et ukrainienne ont procédé à des arrestations supplémentaires dans le cadre de l'opération. Le démantèlement, baptisé « Opération Cronos », a impliqué une coalition de 10 pays et a abouti à la prise de contrôle de l'infrastructure de LockBit et à la divulgation de données internes sur le groupe lui-même. L'acte d'accusation divulgué inculpe Artur Sungatov et Ivan Kondratyev pour avoir utilisé le ransomware LockBit pour cibler des victimes dans divers secteurs à travers plusieurs pays. Voir aussi: La chipflation de l'IA met sous pression les fabricants d'appareils au-delà des centres de données.