États-Unis : deux ressortissants russes arrêtés et accusés du vol 16M de $ via le ransomware Phobos
Récemment, l’entreprise Chainalysis, spécialisée dans l’analyse on-chain a publié son rapport annuel sur les ransomwares. Ainsi, nous apprenions une baisse de 35% des rançons. Alors que nous pourrions y voir une chute de l’activité cybercriminel, la raison est tout autre. En effet, cette baisse est la conséquence du changement de comportement chez les victimes, moins encline à régler la note. De plus, Chainalysis note une augmentation des mesures répressives et de la coopération accrue entre les autorités internationales. La récente arrestation de deux ressortissants russes aux États-Unis, opérateurs d’un ransomware, corrobore cette théorie.
- L’entreprise Chainalysis a rapporté une baisse de 35% des rançons issues de ransomwares, attribuée à un changement de comportement chez les victimes et à une coopération internationale accrue.
- Deux ressortissants russes, opérateurs du ransomware Phobos, ont été arrêtés aux États-Unis dans le cadre d’une opération internationale visant à démanteler leur réseau criminel.
Deux opérateurs de ransomware arrêtés aux USA
Mardi 11 février, le Département de la Justice (DoJ) américain a dévoilé les dessous d’une opération d’envergure visant à démanteler le réseau à l’origine du ransomware Phobos.
Pour rappel, un ransomware est un logiciel malveillant qui a pour mission de chiffrer les données informatiques de sa victime. Par la suite, les opérateurs du logiciel demandent une rançon à la victime en échange du déchiffrement des données.
Ainsi, le DoJ a annoncé l’arrestation de deux ressortissants russes, Roman Berezhnoy, 33 ans et Egor Nikolaevich Glebov, 39 ans. Nos deux protagonistes sont accusés d’être à la tête des opérations de Phobos, un ransomware qui a fait plus de 1 000 victimes aux USA et amassé 16 millions de dollars en rançons.
« Berezhnoy et Glebov ont été arrêtés hier dans le cadre d’une opération internationale coordonnée de démantèlement de leur organisation, qui comprend d’autres arrestations et le démantèlement technique de l’infrastructure informatique du groupe. »
Aux États-Unis, Berezhnoy et Glebov sont accusés de 11 chefs d’accusation. S’ils sont reconnus coupables, ils risquent entre 5 et 20 ans de prison selon les chefs d’accusation. Une note qui mise bout à bout peut mener à une peine de prison à vie.
Un coup de filet international
De plus, plusieurs affiliés du réseau ont également été appréhendés dans le cadre de cette action coordonnée à l’échelle internationale.
« Parallèlement aux arrestations d’aujourd’hui, Europol et les autorités allemandes ont annoncé une opération internationale impliquant le FBI et d’autres partenaires internationaux chargés de l’application de la loi afin de perturber plus de 100 serveurs associés à ce réseau criminel. »
Ces arrestations font suite à l’extradition en novembre dernier depuis la Corée du Sud d’un autre ressortissant russe, Evgenii Ptitsyn. Également accusé d’être l’un des administrateurs de ce réseau criminel.
Phobos : un Ransomware as a Service (RaaS)
Au cœur de cette affaire, nous retrouvons le logiciel Phobos, un ransomware pas comme les autres.
En effet, celui-ci adopte un modèle de Software as a Service (SaaS) largement adopté dans le monde des logiciels.
Ainsi, le logiciel est mis à disposition des hackers du monde entier en échange de frais d’affiliation. De ce fait, les criminels affiliés à Phobos s’occupent d’infecter les victimes et versent des frais aux administrateurs de Phobos pour obtenir une clé de déchiffrement afin de retrouver l’accès aux fichiers chiffrés de leurs victimes. Sans grande surprise, chaque « client » de Phobos peut obtenir sa clé de déchiffrement en échange d’un paiement en cryptomonnaies.
« Selon les documents judiciaires, Berezhnoy, Glebov et d’autres personnes ont exploité une organisation affiliée au ransomware, notamment sous les noms de « 8Base » et « Affiliate 2803 », entre autres, qui a fait des victimes parmi les entités publiques et privées en déployant le ransomware Phobos. »
Par conséquent, les développeurs de Phobos n’ont même pas à faire le travail d’infection des victimes et le délèguent à un réseau d’affiliés.
De son côté, le logiciel en lui-même suit un schéma relativement classique. À savoir infection de la victime, chiffrement des données et demande de rançon. Afin de s’assurer que la victime passe à la caisse, les criminels ont recours au chantage en menaçant d’exposer publiquement les fichiers volés.
Décidément, les cybercriminels redoublent d’ingéniosité pour extorquer les fonds à leurs victimes. Ainsi, les équipes de Kaspersky ont récemment dévoilé une série d’applications mobiles, d’apparence innocente, vérolées par un malware qui en a après vos cryptomonnaies.
Renaud H.
Ingénieur en software et en systèmes distribués de formation, passionné de cryptos depuis 2013. Touche à tout, entre mining et développement, je cherche toujours à en apprendre plus sur l’univers des cryptomonnaies et à partager le fruit de mes recherches à travers mes articles.
