Les procureurs fédéraux ont extradé deux opérateurs présumés de rançongiciels, dont un homme qui, selon eux, était responsable d’une effraction qui a infecté jusqu’à 1 500 entreprises à la fois, ce qui en fait l’une des pires attaques de chaîne d’approvisionnement de tous les temps.
Yaroslav Vasinskyi, 22 ans, a été arrêté en août dernier alors qu’il entrait en Pologne depuis son Ukraine natale. Il a été extradé vers les États-Unis cette semaine pour faire face à une accusation passible d’une peine maximale de 115 ans de prison. Vasinskyi est arrivé à Dallas, au Texas, le 3 mars et a été interpellé mercredi.
Tout d’abord : Sodinokibi/REvil
Dans un acte d’accusation, les procureurs ont déclaré que Vasinskyi était responsable de l’attaque du 2 juillet 2021, qui a d’abord frappé le fournisseur de logiciels de gestion à distance Kaseya, puis a provoqué l’infection de son infrastructure entre 800 et 1 500 organisations qui s’appuyaient sur le logiciel Kaseya. Sodinokibi/REvil, le groupe de rançongiciels Vasinskyi pour lequel Vasinskyi aurait travaillé ou avec lequel il aurait travaillé, a exigé 70 millions de dollars pour un décrypteur universel qui récupérerait toutes les données des victimes.
Les tactiques, techniques et procédures utilisées pour attaquer la chaîne d’approvisionnement de Kaseya étaient impressionnantes. L’attaque a commencé par exploiter une vulnérabilité zero-day dans le service de gestion à distance VSA de Kaseya, qui, selon la société, est utilisé par 35 000 clients. Le groupe a volé un certificat de signature de logiciel légitime et l’a utilisé pour signer numériquement le logiciel malveillant. Cela a permis à l’entreprise de supprimer les avertissements de sécurité qui seraient autrement apparus lors de l’installation du logiciel malveillant.
Pour ajouter plus de furtivité, les attaquants ont utilisé une technique appelée DLL sideloading, qui place un faux fichier DLL malveillant dans un répertoire Windows WinSxS, obligeant le système d’exploitation à charger le faux fichier au lieu du fichier légitime. Les pirates de la campagne Kaseya ont supprimé une version de fichier obsolète qui était toujours vulnérable au chargement latéral de msmpeng.exe, le fichier de l’exécutable Windows Defender.
Les procureurs fédéraux allèguent que Vasinskyi a provoqué le déploiement de code malveillant Sodinokibi/REvil dans le système de construction de logiciels de Kaseya pour déployer davantage le rançongiciel REvil sur les terminaux des réseaux clients. Vasinskyi est accusé de complot en vue de commettre une fraude et d’activités informatiques connexes, d’endommager des ordinateurs protégés et de complot en vue de blanchir de l’argent.
Vous souvenez-vous de NetWalker ?
Jeudi, les procureurs américains ont signalé une deuxième extradition liée au ransomware, cette fois contre un Canadien accusé d’avoir participé à des dizaines d’attaques qui ont propagé le ransomware NetWalker.
Sébastien Vachon-Desjardins, 34 ans, de Gatineau, Québec, Canada, a été arrêté en janvier 2021 pour avoir reçu plus de 27 millions de dollars de revenus de NetWalker. Le ministère de la Justice a déclaré que l’accusé avait depuis été extradé vers les États-Unis et que son dossier était en cours de traitement par le bureau extérieur du FBI à Tampa, en Floride.
NetWalker était un groupe progressiste et prolifique qui fonctionnait sur un modèle RaaS – abréviation de « ransomware as a service » – ce qui signifie que les principaux membres recrutaient des partenaires pour utiliser le malware NetWalker pour infecter des cibles. Les affiliés partageraient alors tous les revenus générés avec l’organisation. Une analyse de la blockchain a révélé que le groupe avait extorqué un total de 25 millions de dollars entre mars et juillet 2020. Parmi les victimes figuraient Trinity Metro, une société de transport en commun du Texas qui propose 8 millions de trajets de passagers par an, et l’Université de Californie à San Francisco, qui a fini par payer une rançon de 1,14 million de dollars.
NetWalker était une opération à propulsion humaine, ce qui signifie que les opérateurs passaient souvent des jours, des semaines, voire des mois à prendre pied dans une organisation cible. En janvier 2021, les autorités bulgares ont saisi un site Web sur le dark web que les partenaires rançongiciels de NetWalker avaient utilisé pour communiquer avec les victimes. La saisie faisait partie d’une répression internationale coordonnée contre NetWalker.
Vachon-Desjardins est accusé de complot en vue de commettre une fraude informatique et de fraude électronique, d’endommager volontairement un ordinateur protégé et de transmettre une réclamation relative à un dommage à un ordinateur protégé. La société d’analyse de la chaîne de blocs Chainalysis a déclaré que les transactions qu’elle a suivies montrent que le Canadien a également aidé à pousser les souches RaaS Sodinokibi, Suncrypt et Ragnarlocker.
Les livraisons de cette semaine font partie d’une série de succès que les forces de l’ordre ont remportés ces dernières semaines. En juin dernier, le FBI a déclaré avoir saisi 2,3 millions de dollars versés aux attaquants du ransomware qui, un mois plus tôt, avaient fermé le réseau Colonial Pipeline et causé des perturbations dans l’approvisionnement en gaz et en kérosène le long de la côte Est. À peu près au même moment, Darkside, le groupe de rançongiciels à l’origine de l’intrusion, s’est également déconnecté.