La police fédérale allemande démasque les dirigeants du ransomware REvil
La police fédérale allemande (BKA) a annoncé le 6 avril 2026 qu'elle avait réussi à identifier deux ressortissants russes comme les principaux dirigeants derrière les opérations de ransomware GandCrab et REvil qui ont terrorisé des organisations dans le monde entier entre 2019 et 2021. Cette identification représente une avancée significative dans l'une des enquêtes criminelles les plus vastes de l'histoire européenne.
L'enquête, qui s'est étendue sur plusieurs années et a impliqué une coordination avec des agences internationales de maintien de l'ordre, s'est concentrée sur le démantèlement de l'infrastructure et de la direction de ce qui est devenu l'une des opérations de ransomware-as-a-service les plus prolifiques jamais documentées. REvil, également connu sous le nom de Sodinokibi, a émergé comme le successeur de GandCrab après que ce dernier groupe a annoncé sa retraite en 2019, affirmant avoir gagné plus de 2 milliards de dollars en paiements de rançon.
Selon les conclusions de la BKA, les deux individus identifiés ont orchestré une entreprise criminelle sophistiquée qui fonctionnait selon un modèle de franchise, recrutant des affiliés pour déployer leur ransomware tout en prenant un pourcentage des paiements de rançon. Les opérations du groupe se caractérisaient par l'utilisation de tactiques de double extorsion, où les victimes faisaient face à la fois au chiffrement des fichiers et à la menace de publication de données sensibles sur des sites de fuite du dark web.
Les opérations de ransomware ciblaient les infrastructures critiques, les systèmes de santé, les institutions éducatives et les grandes entreprises en Amérique du Nord, en Europe et en Asie. Les attaques notables attribuées à REvil incluent l'attaque de la chaîne d'approvisionnement de Kaseya en 2021 qui a affecté environ 1 500 entreprises en aval, et l'attaque de l'entreprise de conditionnement de viande JBS qui a perturbé les chaînes d'approvisionnement alimentaire mondiales.
Les autorités allemandes ont travaillé en étroite collaboration avec la division cybersécurité de la CISA et d'autres partenaires internationaux pour tracer les transactions en cryptomonnaie, analyser les échantillons de logiciels malveillants et corréler les schémas d'attaque à travers plusieurs juridictions. L'enquête a utilisé des techniques avancées de criminalistique numérique et d'analyse de la blockchain pour relier les suspects à des déploiements spécifiques de ransomware et à des portefeuilles de cryptomonnaie utilisés pour la collecte de rançons.
Portée de l'impact mondial des opérations de REvil
Les opérations de ransomware identifiées ont affecté des milliers d'organisations à travers plusieurs secteurs et régions géographiques. Les systèmes de santé ont particulièrement souffert, avec des hôpitaux contraints d'annuler des chirurgies et de revenir à des systèmes basés sur le papier pendant des périodes critiques. Les institutions éducatives, y compris les grandes universités, ont perdu des données de recherche et ont fait face à des perturbations opérationnelles significatives qui ont affecté les calendriers académiques et les services aux étudiants.
Les victimes corporatives couvraient des industries allant de la fabrication et du commerce de détail aux services professionnels et aux entreprises technologiques. Les attaques ciblaient souvent des organisations avec des revenus annuels dépassant 100 millions de dollars, car ces entités étaient plus susceptibles de payer des demandes de rançon substantielles. Les petites et moyennes entreprises ont également été victimes, en particulier celles de l'écosystème des fournisseurs de services gérés qui sont devenues des points d'entrée pour les attaques de la chaîne d'approvisionnement.
L'analyse géographique révèle que les organisations nord-américaines représentaient environ 60 % des victimes confirmées, les entités européennes comptant pour 25 % et les régions Asie-Pacifique représentant les 15 % restants. Les attaques ont montré une préférence claire pour les pays anglophones et les régions avec des marchés d'assurance cybernétique robustes, suggérant que les opérateurs ont mené une reconnaissance détaillée avant de sélectionner leurs cibles.
Les secteurs d'infrastructure critique, y compris l'énergie, le traitement de l'eau et les systèmes de transport, ont subi des attaques ciblées qui ont soulevé des préoccupations de sécurité nationale. Plusieurs incidents ont nécessité une coordination de réponse d'urgence entre les victimes du secteur privé et les agences gouvernementales pour prévenir des défaillances en cascade à travers des systèmes interconnectés.
Méthodologie d'enquête et statut actuel
L'enquête de la BKA a employé une approche à plusieurs volets combinant des techniques traditionnelles de maintien de l'ordre avec une analyse de cybersécurité de pointe. Les enquêteurs ont analysé plus de 10 téraoctets de données saisies à partir de systèmes compromis, tracé des transactions en cryptomonnaie à travers plusieurs réseaux de blockchain, et mené une analyse comportementale des schémas de communication des opérateurs de ransomware sur les forums clandestins.
Les équipes de criminalistique numérique ont reconstruit la chronologie du déploiement du ransomware en examinant les journaux système, les schémas de trafic réseau et les artefacts de logiciels malveillants laissés sur les réseaux des victimes. Cette analyse a révélé les méthodes d'accès initial préféré des opérateurs, y compris l'exploitation d'appareils VPN non corrigés, les connexions de protocole de bureau à distance compromises et les campagnes de phishing ciblant les comptes d'utilisateurs privilégiés.
L'enquête a bénéficié de la coopération avec des entreprises de cybersécurité du secteur privé qui ont fourni des capacités de renseignement sur les menaces et d'analyse de logiciels malveillants. Les chercheurs ont suivi l'évolution des algorithmes de chiffrement de REvil, de l'infrastructure du portail de paiement et des protocoles de communication avec les victimes pour construire un profil complet des capacités techniques et de la structure organisationnelle de l'opération.
Malgré l'identification réussie, les deux suspects sont toujours en fuite et sont supposés résider en Russie, qui n'a pas de traité d'extradition avec l'Allemagne pour les affaires de cybercriminalité. La BKA a émis des mandats d'arrêt internationaux et ajouté les individus à la base de données des notices rouges d'Interpol, restreignant leur capacité à voyager à l'international.
Les organisations peuvent se protéger contre des opérations de ransomware similaires en mettant en œuvre des stratégies de sauvegarde complètes, en maintenant à jour les correctifs de sécurité, en déployant des solutions de détection et de réponse aux points de terminaison, et en menant régulièrement des formations de sensibilisation à la sécurité. Les résultats de l'enquête soulignent l'importance de la segmentation du réseau et de la gestion des accès privilégiés pour limiter la propagation du ransomware une fois la compromission initiale survenue.
