Connaissez-vous REvil, le gang de cybercriminels le plus féroce de tous les temps (selon le FBI en tous cas) ?

La cyberattaque qui a interrompu certaines opérations de l’un des plus grands fournisseurs de viande au monde, serait l'œuvre du groupe criminel REvil : une franchise de ransomware connue pour sa série d’attaques toujours plus agressives, conçues pour extorquer le maximum d'argent aux victimes.

Atlantico : Après une attaque au Ransomware contre JBS, un très important fournisseur de viande américain, le FBI a identifié REvil comme étant à l’origine de l’attaque. Que sait-on à ce jour de ce gang, à qui on a déjà attribué plusieurs hauts faits d’armes cybercriminel ?

Franck DeCloquement : Le tableau est assez édifiant.Et selon les services spécialisés et les différentes informations de sources ouvertes actuellement disponibles, à travers « REvil », nous avons en quelque sorte affaire à un opérateur de « ransomware-as-a-service » (RaaS), spécialisé dans les extorsions et les chantages de divulgation de données.  Un opérateur (d’aucuns parlent aussi de « gang ») qui a d’ores et déjà extorqué des sommes d'argent colossales à travers le monde, auprès de multiples organisations victimes, et d’entreprises impactées par leurs diverses visées criminelles. « REvil » est la contraction de « Ransomware Evil ». Autrement dit, un sobriquet très inspiré – comme chacun peut s’en douter – par la série bien connue des aficionados de jeux vidéo « Resident Evil ».

Les menaces au ransomware sont actuellement les plus répandues dans le domaine de la cybercriminalité, et ces attaques sont littéralement devenues choses très communes. Les intelligences malveillantes aux commandes qui opèrent ces actions délétères se font fort d'extorquer des fonds, tout en volant également des données business inestimables, en menaçant de les publier à tous vents.

« REvil » est apparu pour la première fois en avril 2019, puis s'est très rapidement forgé une réputation de  prouesse technique lorsque le gang a utilisé des fonctions CPU légitimes, pour contourner les systèmes de sécurité. En avril 2021, Kaspersky a d’ailleurs classé « REvil » au troisième rang des groupes de ransomware. « REvil », également connu sous le nom de « Sodinokibi », est apparu pour la première fois en avril 2019 et a pris de l'importance après qu'un autre gang spécialisé dans le « RaaS », appelé « GandCrab », a fermé son service. Au début de « REvil », les chercheurs en cybersécurité ont établi de multiples liens entre les deux groupes identifiés, au point de considérer « REvil » comme une souche de feu « GandCrab ».

Au demeurant, la sociologie de ces groupes est très intéressante : les développeurs qui se cachent derrière les opérations « ransomware-as-a-service » (RaaS),  comptent en réalité sur d'autres cybercriminels « affiliés » pour leur distribuer le ransomware. Dans les faits, ces développeurs malveillants gagnent entre 20% et 30% de leurs revenus illégaux, le reste allant aux affiliés qui font les démarches pour accéder aux réseaux d'entreprises ciblées, afin d’y déployer leur malware… Plus une opération « RaaS » est réussie, plus elle a naturellement de chances d'attirer des affiliés très qualifiés. Et si l’un de ces opérateurs malveillants pliait boutique, leurs « affiliés » passent promptement d’une officine à une autre. Cela s'est déjà produit avec « GandCrab » dans le passé, et bien plus récemment encore avec le groupe « Maze », dont les membres actifs avaient annoncé leur retraite, et dont les « affiliés » ont rapidement migrés vers une nouvelle « famille » de ransomwares répondant au doux patronyme « d’Egregor », également connue sous le nom de « Sekhmet ». A ce jour, les sources les plus fiables s’accordent à estimer que « REvil » aurait touché au moins 140 organisations dans le monde depuis son apparition en avril 2019 : la vente en gros, la fabrication et les services aux professionnels étant les secteurs les plus fréquemment ciblés par ces cybercriminels. Environ 60% des victimes du gang sont des organisations américaines, suivies du Royaume-Uni, de l'Australie et du Canada. Les spécialistes estiment également qu'un tiers des victimes de « REvil » ont payé la rançon, et qu'une sur dix a vu ses informations sensibles vendues aux enchères sur le dark Web… Un tiers des victimes de ce groupe criminel se sont fait voler leurs données. « REvil » semble ajuster ses demandes de rançon en fonction des revenus annuels des organisations victimes, ce qui expliquerait aussi la considérable variation de ses demandes, s’échelonnant entre 1 500 et 42 millions de dollars, et pouvant s’établir jusqu'à 9% des revenus annuels de la structure victime. Il a été également identifié par les chercheurs un certain nombre de chevauchements entre « REvil » et un groupe cybercriminel connu sous le nom de « FIN7 », également connu sous le nom de « Carbanak », bien que cela puisse être dû au fait qu'un affilié commun fait du business avec les deux. Le rançongiciel « REvil » est distribué principalement à travers des sessions RDP compromises dans 65 % des cas, par phishing dans 16 % des cas, via des vulnérabilités logicielles dans 8 % des cas.

De leur côté, certains chercheurs mobilisés sur ce groupe de criminels estiment à ce jour que les bénéfices du gang « REvil » au cours de la dernière année écoulée, se montraient aux alentours de 100 millions de dollars. Un cyber criminel interviewé par un blogueur de nationalité Russe, représentant présumé du groupe « REvil », semble avoir également confirmé cette échelle de grandeur de gain estimatif. Selon la presse spécialisée, fin septembre 2020, le groupe aurait d’ailleurs déposé 1 million de dollars en bitcoins sur un forum de hackers, dans le but de recruter des pirates toujours plus qualifiés, pour devenir ses « affiliés ».

La problématique majeure à laquelle se confrontent rapidement les organisations victimes de ce type de cyberattaque, et de savoir s’il faut payer ou non la rançon !  On retiendra à ce titre alors que les pirates informatiques ne tiennent pas en majorité leurs paroles… En clair, payer une rançon ne protège pas contre les méfaits d’une telle intrusion. Et cela même, si dans un premier temps, s’acquitter de la somme demandée  semble une bonne solution relative, en ce sens qu’envisager le coût prohibitif d’une remédiation complète du dispositif informatique s’avère plus onéreux que les sommes souvent exigées par les cybercriminels. C’est ainsi que le piège se referme sur les victimes, car il est démontré que les cybercriminels ne se débarrassent pas des informations exfiltrées lors de leurs méfaits, et cela même après que la rançon ai été payée... Et lorsque ces informations sont classées confidentielles entreprises ou s’avèrent particulièrement sensibles, il existe toujours une possibilité de faire chanter ladite organisation par la publication de ces informations classifiées.

Atlantico : Plusieurs noms d’organisations responsables de cyberattaques circulent régulièrement dans les médias. Ces attaques sont le plus souvent « attribuées », plus qu’elles ne sont « revendiquées ». Est-on réellement en capacité de dire, ou de prouver incontestablement, quels sont véritablement ces groupes criminels,  et surtout, qui sont leurs éventuels  commanditaires ?

Franck DeCloquement : Soyons lucides, l’objet même de ces actions criminelles menées dans le « cybermonde » par le truchement des technologies informatiques, permet justement d’échapper dans la majeure partie des cas à l’identification certaine, et aux sanctions corrélatives des autorités. Le risque d’interpellation et de sanction est en effet bien moindre pour les criminels, que dans le monde « réel » en quelque sorte. Ce n'est une surprise pour personne. Et cela motive naturellement ces gangs à passer à l’action sans vergogne. La question qui se pose maintenant pour les autorités, est de savoir comment allez plus loin. Car les attaquants ont la partie belle comme l’évoquait en substance Guillaume Poupard, le patron de l’ANSSI en février 2020 dans Zdnet : « aujourd'hui, la seule chose qu'ils risquent véritablement c'est que leur attaque ne fonctionne pas… » Abrupt constat ! 

L’attribution des attaques relève en somme d’un jeu de chat et de la souris (sans jeu de mots). Mais aussi dans certains cas, d’un bras de fer diplomatique… Car la désignation publique des auteurs de piratage est un geste avant tout éminemment politique. Comment déterminer qui est à l’origine ou non d’une attaque informatique ? Tous les experts s’accordent à le dire : c’est très compliqué ! L’exercice est particulièrement délicat, tant les fausses pistes et les faux-semblants pullulent à l’envi, et reposent en définitive à la fois sur l’analyse des « traces » laissées par les pirates, de leur mode opératoire et de leurs objectifs, l’étude du profil des victimes… Et les informations capitales détenues par les centrales de renseignement sont généralement conservées dans l’opacité du secret-défense. Mais si l’attribution d’une cyberattaque est par définition un véritable puzzle à reconstituer, la désignation publique à la vindicte d’un responsable est toujours en définitive une décision hautement politique. Les exemples peuvent être parfois spectaculaires : l’un d’eux a été donné par le communiqué publié, le 3 octobre 2018, par le Centre national de cybersécurité (NCSC) britannique, rattaché au Government Communications Headquarters (GCHQ), autrement dit la centrale du renseignement électronique du Royaume-Uni. Le NCSC estimait à ce titre avec « un haut degré de confiance » que le renseignement militaire russe, le GRU, est « presque certainement » responsable du siphonnage du Comité national démocrate américain au printemps 2016 – 12 agents russes avaient été à ce titre inculpé en juillet 2018 aux Etats-Unis – mais aussi du piratage de l'Agence mondiale antidopage la même année, et du rançongiciel « Bad Rabbit » qui avait touché l'Ukraine en octobre 2017. De la même manière, c'est « presque certainement » le GRU qui se cache derrière le « CyberCaliphate », le groupe qui avait revendiqué en avril 2015 l'attaque contre la chaîne française TV5 Monde, et les hacktivistes de « CyberBerkut », qui avaient piraté en mai 2014 la Commission centrale électorale ukrainienne… D'autant qu'après les déclarations très offensives du Foreign Office, dans un élan très coordonné, l'Australie et le Canada avaient emboîté le pas au Royaume-Uni, les Pays-Bas avaient annoncé de leur côté avoir expulsé quatre agents russes au printemps après une opération visant l'Organisation pour l'interdiction des armes chimiques (OIAC), l'Otan et l'Union européenne ont réagi, tandis que la justice américaine faisait état de sept nouvelles inculpations à venir… Autant qu'un outil de défense et de renseignement, le «cyber» est en réalité au cœur des bras de fer politico-diplomatiques et commerciaux entre nations concurrentes et entreprises internationales. Le tout s’inscrivant sur fond de guerres économiques, et de luttes de puissance fratricides. D’autant plus en période de crise sanitaire. 

Bien consciente de ces enjeux sous-jacents, la France a, jusqu'ici, joué une partition très singulière. Certes, elle montre comme les autres nations sa « cyber-détermination », et renforce naturellement constamment sa capacité à identifier les auteurs d'attaques informatiques. Mais il s'agit moins de désigner ouvertement des responsables étatiques derrière ses actions que de dissuader les attaquants potentiels. De ce point de vue, les réactions du Quai d'Orsay, sont le plus souvent tirées au cordeau : si la France juge que les faits rapportés sont graves et préoccupants et exprime sa pleine solidarité avec ses alliés, elle le fait dans à travers une sémantique compassée, sans reprendre pourtant à son compte leurs attributions publiques. D'évidence, Paris entend définir ses propres contentieux avec Moscou. Et les gérer plus discrètement que ne le font les anglo-saxons, lié communément dans leur consortium de confiance bien connue que sont les « Five Eyes » (l’abrégé de « FVEY » pour la classification, qui désigne l'alliance des services de renseignement de l'Australie, du Canada, de la Nouvelle-Zélande, du Royaume-Uni et des États-Unis). Pour autant, la France s’est dotée d’une doctrine militaire offensive dans le cyberespace pour assurer la préparation et la supériorité stratégique de la France dans la lutte dans le cyberespace, selon les mots choisis de la Ministre des armées Florence Parly. Affirmant dans sans ambages que la position de la France ne pouvait pas être seulement défensive, mais  intégrait aussi pleinement l’arme cyber parmi les capacités opérationnelles, dans le respect du droit international. Antienne reprise à son compte par le patron emblématique de l’ANSSI lui-même, en février 2020, estimant que : « Dans l’avenir, l'offensif et le défensif devront travailler ensemble ». La présence de son agence en contact plus étroit avec des gens avec qui travaillent déjà très bien dans ce registre (la DGA et le Comcyber), de permettre la mise en place d’une réelle coordination opérationnelle dans le traitement des attaques à l’horizon 2025. En France, les organismes publics sont également la cible des ransomwares ces dernières années, et les actions sont croissantes. En 2019, des hackers avaient coupé le réseau informatique de 120 hôpitaux, repoussant plusieurs opérations chirurgicales. Un évènement depuis inscrit dans toutes les mémoires.

De leur côté, il est à noter que les États-Unis viennent d’élever les attaques aux ransomwares au même rang de priorité que les attaques terrorisme. Cette décision très récente du ministère de la Justice survient après que plusieurs attaques majeures ont paralysé les services américains. Le pays entend ainsi employer les mêmes méthodes d’investigation pour les deux formes de menaces sus-citées. Pour les aider dans ce processus, une unité spéciale vient d’être créée à Washington : « Il s’agit d’un processus spécialisé visant à s’assurer que nous suivons tous les cas de ransomware, quel que soit l’endroit où ils peuvent être référés dans ce pays, afin de pouvoir établir les connexions entre les acteurs et remonter la filière pour perturber toute la chaîne », explique à ce titre John Carlin dans la presse américaine, procureur général adjoint au ministère de la Justice. Cette décision n’est pas due au hasard : les États-Unis ont en effet été victimes ces dernières années, de très nombreuses cyberattaques de grande ampleur, de type « ransomware ». En 2019, une cyberattaque massive avait paralysé le réseau de La Nouvelle-Orléans. Plus récemment, des pirates ont attaqué Colonia Pipeline, principal opérateur d’oléoducs pétroliers américains, entraînant le déclenchement de l’état d’urgence face aux risques de pénuries potentielles. La dernière attaque au Ransomware en date qui visait « JBS », un très important fournisseur de viande américain, ayant fini par convaincre Washington de l’urgence de la situation… Ce nouveau niveau de priorité accordé aux « attaques à la rançon » vise donc à réduire drastiquement pour l’essentiel, les risques induits en dissuadant très fortement les pirates de s’en prendre aux structures d’importance vitale pour le pays. John Carlin – mimant l’optimiste – gageant que ce type de mesure aurait déjà porté efficacement ses fruits dans la lutte contre le terrorisme… On demande toutefois à voir. 

Atlantico : Quel peut être l’intérêt de publiciser ces groupes cybercriminels ? Qui en sort réellement gagnant ? Et au demeurant, quels sont les enjeux sous-jacents aux attributions de cyberattaques ?

Franck DeCloquement : L’attribution d’une attaque informatique est un processus très complexe de recherche et d’expertise forensic, visant pour l’essentiel à déterminer ce qui se dissimule dernière celle-ci, ainsi que les motivations du ou des auteurs qui opèrent parfois sous faux drapeau, ces actions délétères.

En fonction de la cible et de la nature de l’attaque informatique, un ou plusieurs des acteurs suivants peuvent avoir autorité à l’attribution : les premiers organes sont les services gouvernementaux tels que la police judiciaire ou encore les centrales de renseignement qui interviennent à l’issue d’une plainte, ou lorsque les cibles sont des « OIV » (Opérateur d’Importance Vitale). Ensuite, on trouve les firmes de sécurité informatique, essentiellement des éditeurs de logiciels antivirus, servant leurs clients ne voulant pas nécessairement passer par la case investigation policière pour des raisons de discrétion et de confidentialité évidente. Enfin, on retrouve aussi les institutions de recherche en cybersécurité : celles-ci qui interviennent le plus souvent, dans le cas très spécifique des attributions non résolues, et nécessitant un surcroit de recherches scientifiques et techniques beaucoup plus approfondies, afin de mieux croiser les données recueillies. Dans cette dernière affaire qui nous occupe, c’est Le FBI qui a procédé à l'attribution de ces attaques mercredi dernier. Autrement dit l’Etat fédéral américain lui-même au travers de sa célèbre centrale d’investigation. Soit un jour après que l'on ait appris que « JBS SA », basée au Brésil, avait été victime d'une attaque au ransomware qui a entraîné la fermeture d'au moins cinq usines basées aux États-Unis, en plus d'installations situées au Canada et en Australie.

Les enjeux de l’attribution des cyberattaques sont multiples. Les attributions du groupe de pirates malveillants permettent par exemple aux Etats de se positionner en leader sur le marché mondial par rapport à la concurrence, et de donner le « La » sur le plan international, mais aussi aux différents groupes criminels en concurrence de se faire connaitre et reconnaitre par leurs guildes, et de récolter ainsi les fruits – si je puis dire – de leur notoriété criminelle. Cela permet également aux différentes industries de l’écosystème cyber de promouvoir leurs sondes de détections et leurs actions de remédiations en direction de leurs clients potentiels, afin de faire fructifier leurs affaires commerciales en surfant sur la peur bien comprise d’être prochainement impacté soi-même. Mais cela sert aussi à dissuader les attaquants potentiels futurs, en démontrant à la face du monde que leurs méfaits ne resteront en aucun cas impunis. L’attribution permet de surcroit de démanteler des réseaux criminels dont l’activité de piratage informatique n’est qu’une facette qui occulte parfois des opérations de « guerre spéciale » provenant en droite ligne d’Etats belligérants. Puis, elle permet de connaître les modes opératoires et les motivations des attaquants, pour mieux protéger les systèmes informatiques. Enfin l’attribution vise à consolider une base de connaissances qui aidera plus précisément à accélérer l’attribution des attaques à venir.

Il est généralement considéré par le milieu des spécialistes que « REvil », et ses affiliés, représentent à ce jour environ 4 % des attaques contre les secteurs publics et privés. Concernant l’attribution en chiffres, il n’existe pas beaucoup de comptes officiels disponibles sur le sujet, même si, l’on remarque toutefois un intérêt grandissant pour l’attribution. Ceci est à mettre naturellement en lien avec l’explosion ces derniers mois de cyberattaques de plus en plus virulentes, agressives et dommageables aux entreprises et aux Etats. D’après certaines estimations en provenance des milieux spécialisés, le coût des dommages imputable à la cybercriminalité s’élèverait aux environs de 6 billions de dollars en 2021, alors qu’il n’était « que » de 3 billions de dollars en 2015.

À bien des égards, « REvil » apparait comme un gang criminel de ransomware assez moyenne. Ce qui le distingue en revanche des autres acteurs de la place agissant de la même matière, c'est la cruauté très particulière de ses tactiques d’actions, toutes conçues pour exercer une pression maximale sur les victimes ciblées par ses attaques. Et cela, étant donné la célérité étonnante de ce groupe qui est l'un des premiers à avoir adopté les blogs publics des victimes, et à se pencher très fortement sur le côté « double extorsion ». Ils ont été également les premiers expérimentateurs de « la vente aux enchères de données volées ». Certaines de ces ventes ont été d’ailleurs couronnées de succès, d'autres beaucoup moins. Mais les données potentiellement volées de certaines proies auraient été disponibles pour le plus offrant. Dans un cas très particulier, le site Web « REvil dark » a également publié une capture d'écran prétendant montrer que de la pornographie était présente dans un dossier de fichiers temporaires d'un ordinateur, appartenant au directeur informatique d'une très grande entreprise qui avait récemment été l’objet des actions criminelles de ce groupe… « REvil » est également le groupe qui a piraté Grubman, Shire, Meiselas & Sacks, le cabinet d'avocats de célébrités qui représentait entre autre star médiatiques, Lady Gaga, Madonna, le groupe U2 et bien d'autres artistes internationaux de premier plan. Lorsque « REvil » a demandé 21 millions de dollars en échange de la non-publication des données, le cabinet d'avocats aurait offert 365 000 dollars. « REvil » a donc « aimablement » répondu à cette proposition en augmentant sa demande à 42 millions de dollars, puis en publiant plus tard une archive de 2,4 Go contenant des documents juridiques confidentiels concernant la chanteuse et comédienne Lady Gaga elle-même. Les autres victimes connues de ce groupe criminel incluent Kenneth Copeland, SoftwareOne, Quest et Travelex.

Atlantico : Quelles sont les différentes étapes à suivre par les spécialistes pour attribuer une attaque informatique ? Pourquoi est-il si difficile de localiser la source d’une attaque de ce type ?

Franck DeCloquement : Très schématiquement, l’attribution d’une attaque est un problème impliquant une combinaison de plusieurs analyses ayant pour but immédiat d’endiguer cette violation. Parmi cette liste non exhaustive, attardons-nous un moment sur les deux analyses qui nous semblent être les plus stratégiques lors de cette résolution : premièrement nous avons l’analyse « forensic », ou « technique », qui consiste à exploiter les traces qu’auraient laissées les attaquants durant leur passage, en visionnant le journal des évènements (events log), les malwares ou tout autre indice. A ce stade de l’enquête, les spécialistes cherchent naturellement à déterminer quel a été le mode opératoire suivi par les pirates pour s’introduire dans le système, ainsi que l’éventuelle similarité du malware utilisé par rapport à d’autres actions criminelles déjà connues à ce jour. Le deuxième point d’importance à observer, et non des moindres, c’est celui du contexte géopolitique et économique de l’attaque. Cette vue d’ensemble – ou « Big Picture » – permet potentiellement de déterminer les motivations des attaquants. L’assaillant cherche-t-il à soutirer de l’argent ? Souhaite-il au contraire dérober une information industrielle capitale ? Ou veut-il plus simplement nuire à sa cible ? Cette contextualisation des évènements en dira également beaucoup plus sur la nature de ces acteurs malveillants : fait-on face à des criminels isolés ou à des forces engagées, commanditées par des Etats belligérants ? « That is the question »…

Pour mener à bien cette analyse de profondeur, il faut prendre en considération plusieurs facteurs induits parmi lesquels il nous est possible de citer « l’envergure de l’attaque » (quels moyens humains et matériels ont-ils été mis en œuvre pour mener à bien l’attaque ?), la « nature des données exfiltrées par les attaquants » (quelle est leur valeur exacte sur le marché noir de la data ?), le « secteur d’activité de l’organisation cible de l’attaque » et le « contexte géopolitique » du pays où se trouve l’organisation cible de l’attaque. La recherche sur l’origine d’une attaque spécifique repose toute à la fois sur l’analyse des traces laissées par les pirates, sur leur mode opératoire particulier et sur leurs motivations à perpétrer cette action, mais aussi sur l’étude du profil des victimes ciblées. Toutes ces étapes sont particulièrement délicates à appréhender, et ce pour deux raisons principales : la première recoupe la dimension technique qui freine énormément les investigations. En effet, les attaquants ont à leur disposition un arsenal d’outils et de moyens très sophistiqués leur permettant de laisser le moins de traces informatiques possibles durant la commission de leur action. Et le plus souvent, leur process d’action consiste à « refaire à l’envers» le chemin, afin d’effacer toutes les traces résiduelles restantes. Et dans ce registre, le temps est naturellement leur allié car, le plus souvent, l’intrusion malveillante est détectée bien longtemps après l’attaque elle-même. Dans ce cas, les traces informatiques pourraient être incomplètes, voire même ne pas avoir été sauvegardées (rotation des fichiers de traces, etc.) Enfin, les attaquants s’ingénient le plus souvent à fausser les pistes en implantant par exemple des « false flags » (terme issu de la langue anglaise, signifiant « faux drapeau », il provient en droite ligne de l’univers de la navigation maritime, et désigne un drapeau utilisé comme ruse en mer lors de l’attaque d’un navire ennemi, afin d’éviter d’être reconnu et attaqué soi-même avant d’être suffisamment proche de la cible pour l’aborder), au niveau des traces informatiques laissées derrière eux pour faire diversion. Le second frein réside dans l’aspect juridique : à ce titre, il faut savoir que les attaquants ne mènent pas leurs attaques directement depuis leurs postes informatiques. Ils passent très communément par plusieurs serveurs « intermédiaires » ou « proxy », avant d’atteindre le réseau de l’organisation qu’ils ciblent. Le plus souvent, ces serveurs sont basés dans des pays étrangers qui possèdent des juridictions très différentes de celle du pays victime de l’attaque. Pour les besoins de l’enquête, il est parfois nécessaire d’accéder à l’historique des traces de ces serveurs. Cet accès nécessite de procéder à des demandes d’autorisations aux services judiciaires compétents des pays concernés : ces autorisations peuvent être, soient refusées, ou au mieux octroyées moyennant de très longs délais d’attente dans leur restitution. Ceci étant naturellement propice à la perte définitive des données indispensables à l’enquête. Jeux troubles de la géopolitique obligent, parfois.