Les États-Unis accusent l’Ukrainien et le Russe de cyberattaque et saisissent 6 millions de dollars de rançon Par Reuters

Par Mark Hosenball et Kanishka Singh

(Reuters) – Le ministère américain de la Justice a inculpé un suspect ukrainien et un ressortissant russe pour une attaque de ransomware en juillet contre une entreprise américaine, selon des actes d’accusation déposés lundi devant le tribunal, et a saisi 6 millions de dollars de rançons.

Les dernières actions américaines font suite à une série de mesures prises pour lutter contre les ransomwares qui ont frappé plus tôt cette année de grandes entreprises, notamment Colonial Pipeline, le plus grand pipeline de carburant des États-Unis, et ont paralysé la livraison de carburant pendant plusieurs jours dans le sud-est des États-Unis.

Yaroslav Vasinskyi, un ressortissant ukrainien arrêté en Pologne le mois dernier, fera face à des accusations américaines pour avoir déployé un ransomware connu sous le nom de REvil, qui a été utilisé dans des piratages qui ont coûté des millions de dollars à des entreprises américaines, selon le dossier du tribunal.

REvil a gagné en notoriété en tant que groupe russe à l’origine de l’attaque de ransomware contre meatpacker JBS SA (OTC :).

Vasinskyi a mené une attaque de ransomware au cours du week-end du 4 juillet contre la société de logiciels basée en Floride Kaseya qui a infecté jusqu’à 1 500 entreprises dans le monde, selon les accusations portées devant le tribunal de district américain du district nord du Texas.

Vasinskyi et un autre agent présumé de REvil, le ressortissant russe Yevgeniy Polyanin, ont été inculpés par les États-Unis de complot en vue de commettre une fraude et de complot en vue de commettre un blanchiment d’argent, entre autres chefs d’accusation.

Le département du Trésor a également déclaré que les deux agents s’exposaient à des sanctions pour leur rôle dans des incidents de ransomware aux États-Unis, ainsi qu’à un bureau de change virtuel appelé Chatex « pour faciliter les transactions financières pour les acteurs de ransomware ».

Le piratage présumé de Kaseya par Vasinskyi en juillet 2021 était l’une des attaques de ransomware les plus répandues et impliquait un outil logiciel largement utilisé conçu par la société informatique. De nombreux clients Kaseya ont été infectés en même temps par le cryptage REvil. Certaines rançons ont été payées, bien qu’une clé de décryptage principale ait finalement été récupérée par les autorités et distribuée des semaines plus tard.

Le procureur général adjoint Lisa Monaco a crédité Kaseya pour son aide dans l’enquête. « Nous sommes ici aujourd’hui parce qu’à leur heure la plus sombre, Kaseya a fait le bon choix et ils ont décidé de travailler avec le FBI… ce faisant, nous avons pu identifier et aider de nombreuses victimes de cette attaque. »

Le Trésor a déclaré que plus de 200 millions de dollars de rançons avaient été payés et Monero. Il a ajouté que les agences gouvernementales lettones et estoniennes étaient essentielles à l’enquête.

Vasinskyi, 22 ans, était détenu en Pologne dans l’attente d’une procédure d’extradition américaine, tandis que Polyanin, 28 ans, était toujours en fuite.

Reuters n’a pu joindre aucun représentant légal pour les deux, et aucun avocat n’était inscrit sur les actes d’accusation.

Jusqu’à 1 500 entreprises dans le monde ont été touchées par des attaques de ransomware centrées sur Kaseya. Ces entreprises gèrent généralement le travail de back-office pour des entreprises trop petites ou disposant de ressources modestes pour avoir leurs propres départements techniques.

L’acte d’accusation américain contre le pirate informatique ukrainien a déclaré que lui et d’autres conspirateurs avaient commencé à déployer un logiciel de piratage vers avril 2019 et l’avaient « régulièrement » mis à jour et affiné. L’acte d’accusation accusait également le pirate informatique de blanchir de l’argent obtenu par le biais d’un stratagème d’extorsion de fonds.

Europol a déclaré plus tôt lundi que les autorités roumaines avaient arrêté le 4 novembre deux personnes soupçonnées de cyberattaques utilisant le ransomware REvil. Depuis février, les forces de l’ordre ont arrêté trois autres affiliés de REvil, a ajouté Europol.

Douze suspects soupçonnés d’avoir lancé des attaques de ransomware contre des entreprises ou des infrastructures dans 71 pays ont été « ciblés » lors de raids en Ukraine et en Suisse, a annoncé vendredi Europol.