Le ressortissant ukrainien Yaroslav Vasinskyi a été arrêté en Pologne. Il est accusé d’avoir perpétré l’attaque de ransomware contre Kaseya et extorqué une rançon 70 millions de dollars à l’entreprise.
Une demande d’extradition
Au mois de juillet dernier, l’outil de surveillance et de gestion à distance VSA de Kaseya a été utilisé comme vecteur d’attaque. Et ce, pour injecter des ransomwares dans les systèmes de jusqu’à 1 500 clients finaux d’une trentaine de fournisseurs de services gérés (MSP).
Le procureur général américain Merrick Garland s’est exprimé lors d’une conférence de presse le 8 novembre dernier. Il déclare que Vasinskyi aurait été arrêté en traversant la frontière entre l’Ukraine et la Pologne.
Il a été arrêté par les autorités polonaises à la demande des Américains et en vertu d’un mandat d’arrêt provisoire. La justice américaine demande une extradition vers les États-Unis.
Rappel des faits
Kaseya, la société multinationale de logiciels d’information a été attaquée par l’une des souches de ransomware les plus prolifiques le 2 juillet de cette année. Cette souche, connue sous le nom de REvil ou Sodinokibi, a été déployée sur environ 175 000 ordinateurs dans le monde à ce jour.
Au moins 200 millions de dollars ont été versés aux pirates grâce à des attaques menées via REvil. Dans le cadre de cette arrestation, le ministère de la Justice a saisi 6,1 millions de dollars de fonds extorqués aux victimes. Yaroslav Vasinskyi encourt une peine de prison pouvant aller jusqu’à 100 ans.
Lors de cette attaque, Kaseya a toujours joué la carte de la transparence avec ses clients. L’entreprise a toujours fourni des informations en temps réel sur l’étendue des dommages, les risques et l’avancée de l’enquête.
Déploiement de grandes opérations anti-REvil
Selon Interpol, une opération de quatre ans sur les cinq continents a perturbé un gang de cybercriminalité de ransomware, avec l’arrestation de sept suspects. L’opération portait le nom de code Quicksand (ou GoldDust).
Ces actions répressives ont été menées par 19 organismes dans 17 pays. Les autorités se sont concentrées sur les attaques menées avec les souches GandCrab et REvil-Sodinokibi et leurs auteurs.
Les suspects arrêtés lors de l’opération Quicksand sont soupçonnés d’avoir perpétré des dizaines de milliers d’attaques de ransomware et réclamé plus de 200 millions d’euros de rançon.
Interpol souligne une étroite collaboration avec des partenaires privés comme Trend Micro, CDI, Kaspersky Lab et Palo Alto Networks. Bitdefender a par exemple publié des outils de décryptage sur mesure pour déverrouiller les ransomwares et permettre aux victimes de récupérer des fichiers.
Opération anti-ransomware : les États-Unis sur le front
Au premier semestre 2021, les États-Unis auraient déjà payé 590 millions de dollars de rançons liées à des attaques de ransomware. Ce total s’élevait à 416 millions de dollars à la même période de l’année dernière.
Plus tôt cette année, lors d’un sommet avec Vladimir Poutine, Joe Biden a déclaré que les États-Unis prendraient des mesures pour mettre fin aux activités des cybercriminels internationaux.
Le département d’État américain a annoncé une récompense pouvant atteindre 10 millions de dollars à quiconque fournirait des informations qui permettent d’identifier ou de localiser les chefs du groupe du crime organisé transnational derrière Sodinokibi/REvil.
- Partager l'article :