Selon les chercheurs des équipes SpiderLabs de Trustwave, la répression des membres du gang de ransomware Revil par des agents du FSB, le 14 janvier dernier, a provoqué une vague de panique et de crainte dans le milieu des pirates informatiques russes. « Nos chercheurs ont constaté une grande anxiété et une consternation de la part de ceux qui participent à ces forums du Dark Web concernant les arrestations du FSB et l'impact que ces actions auront sur eux à l'avenir », a noté Trustwave vendredi dans un billet de blog de l'entreprise.
« Les commentaires font état d'une peur générale d'être arrêté, de la possibilité que leur pays ne soit plus un refuge sûr et que la coopération avec les États-Unis et la Russie soit un problème pour leurs opérations futures », ajoute le blog. Il cite un membre du forum déclarant : « C'est un grand changement. Je n'ai aucune envie d'aller en prison ».
La Russie agit rarement contre les ransomwares
Après avoir surveillé pendant près d'une semaine les discussions sur les forums de pirates russes, nous avons remarqué un énorme changement par rapport au passé dans le ton des membres de ces sites de discussion en ligne, explique Ziv Mador, vice-président de la recherche en sécurité chez SpiderLabs. « Par le passé, les cybercriminels se sentaient très en sécurité en Russie », dit-il. « Tant qu'ils n'attaquaient pas des cibles locales, ils pensaient que tout irait bien. Des cybercriminels russes avaient été arrêtés alors qu'ils voyageaient en dehors du pays, mais cette fois, ils ont été arrêtés dans des villes russes », poursuit-il. « C'était un moment choquant pour eux ».
Le raid russe était-il « un spectacle » pour la communauté internationale ?
Certains sont sceptiques quant à l'importance du raid de Revil et se sont exprimés sur les forums suivis par SpiderLabs. Un membre du forum a évoqué la possibilité que l'opération du FSB était, en fait, truquée ou n'était qu'un « spectacle » pour la communauté internationale, a noté Trustwave. Cette pensée leur a permis de garder l'espoir que l'opération du FSB ne se terminerait pas par de graves punitions pour les personnes arrêtées.
« Il est peu probable que cela constitue un changement majeur dans la position de la Russie vis-à-vis des activités criminelles à l'intérieur de ses frontières - à moins qu'elles ne visent des citoyens russes - et plutôt que leur position diplomatique soit intenable, et qu'ils aient eu besoin de sacrifier quelques consommables pour retarder une pression géopolitique plus sérieuse », soutient John Bambenek. « Dans trois mois, s'il n'y a pas d'autre arrestation majeure, on peut supposer sans risque de se tromper qu'aucun changement réel n'est intervenu dans l'approche de la Russie », a déclaré M. Bambenek. « Néanmoins, c'est une grosse arrestation et elle aura un impact significatif à court terme pour réduire les ransomwares ».
Revil était inactif depuis des mois
Le fait que le FSB ait ciblé Revil, qui n'avait pas été publiquement actif dans la conduite d'attaques depuis octobre 2021, est également significatif, ajoute Chris Morgan, analyste principal en renseignement sur les cybermenaces chez Digital Shadows, fournisseur de solutions de protection contre les cyber-risques. « Il est possible que le FSB ait effectué un raid sur Revil en sachant que le groupe figurait en bonne place sur la liste des priorités des États-Unis, tout en considérant que leur suppression aurait un faible impact sur le paysage actuel des ransomwares », dit-il.
Dirk Schrader, vice-président mondial de New Net Technologies, un éditeur de sécurité informatique et de conformité, ajoute que seul le temps dira si le raid de Revil diminuera les attaques de ransomware. « Il est trop tôt pour dire si un tel niveau de coopération internationale se transformera en efforts systémiques pour mettre fin aux attaques généralisées de ransomware », dit-il. « Seuls des efforts cohérents et unis pour priver les attaquants de toute zone de sécurité peuvent garantir des résultats à long terme ».