Des pirates informatiques du réseau « Egregor » interpellés en Ukraine

Les auteurs de cyberattaques, notamment contre le journal «Ouest-France», ont été interpellés lors d'un coup de filet en Ukraine.
Les auteurs de cyberattaques, notamment contre le journal «Ouest-France», ont été interpellés lors d'un coup de filet en Ukraine. GETTY/Peter Cade

Les suspects seraient en fait des « affiliés », et non les membres de l’organisation cybercriminelle, l'un des groupes de « ransomware » les plus actifs du moment. Le programme « rançongiciel » du groupe Egregor est en circulation depuis septembre 2020 et a récemment touché le quotidien « Ouest France », l'éditeur de jeux vidéo Ubisoft ou encore la société de transport Gefco.

Publicité

Rien ni personne n’échappe au fléau des « rançongiciels », c'est-à-dire un ensemble de programmes malveillants capables de prendre le contrôle des ordinateurs, des tablettes et des smartphones à distance. Les maîtres-chanteurs 2.0 les utilisent pour crypter et rendre inaccessible le contenu des fichiers confidentiels stockés par les entreprises et les administrations.

Des rançons demandées pour que le contenu des fichiers ne soient pas diffusés

Une coopération entre les policiers français et ukrainiens a permis de remonter la piste des rançons payées en monnaie virtuelle bitcoin jusqu'à des pirates informatique en Ukraine membre du groupe dénommé  « Egregor ». Spécialisés dans la méthode dite de « double extorsion », c’est-à-dire pratiquant l’exfiltration des données avant de les chiffrer, ces pirates menacent leurs victimes de diffuser les informations dérobées sur le web. 

Ce coup de filet concerne plutôt les « affiliés » du groupe, c’est-à-dire les petites mains qui emploient le « rançongiciel » développé par le gang. À la tête du groupe, les développeurs du programme rançonneur d’Egregor. Pour avoir le droit d’utiliser leur logiciel d’attaque, ils réclament entre 20 et 30 % du paiement de la rançon, tandis que les « affiliés », eux, touchent les 70 à 80 % restants. Toutefois, ces interpellations en Ukraine ne signifient pas que le gang soit définitivement abattu, précise Ivan Kwiatkowski, chercheur en cybersécurité chez Kaspersky France. « Arriver à suivre la trace de ces attaques est extrêmement compliqué, car l’écosystème du cybercrime est composé d’acteurs divers et qui interviennent de façon disjointe et cloisonnée aux différents moments de ces attaques. Si l’on suit uniquement l’argent, on ne trouvera pas forcément les développeurs du logiciel de rançon, mais uniquement les personnes qui l’utilisent ou qui s’occupent du blanchiment de la rançon. Mais savoir qui est le commanditaire d’une attaque est impossible pour la bonne raison qu’il n’existe probablement pas. Le système employé par les rançonneurs n’a pas besoin de chaîne de commandement. La plupart des attaques informatiques pour soutirer de l’argent s’auto-organisent pour créer en quelque sorte une chaîne spontanée de valeur du crime. L’une des innovations, ces dernières années, est de dérober les données internes d’une entreprise et de la menacer de tout divulguer en ligne », précise Ivan Kwiatkowski.

Hausse des signalements d'attaque

En France, les attaques par « ransomware » ont plus que triplé l'année dernière. L'ANSSI, l’Agence nationale de sécurité des systèmes d’information a dû faire face à de nombreux appels à l'aide de sociétés rançonnées et a publié sur son site une série de conseils pour faire face à une cyberattaque.

Egregor revendique déjà plusieurs centaines de victimes à son actif. En janvier dernier, le site vitrine du groupe avait été mis hors ligne pendant deux semaines avant de réapparaître en affichant ce message laconique « Malgré vos espoirs, nous sommes à nouveau avec vous », faisant craindre aux experts en cybersécurité l’apparition prochaine d’un nouveau « cartel du ransomware ».

À lire aussi : Cybercriminalité: «La plupart des rançongiciels viennent de Russie et d'Ukraine»

NewsletterRecevez toute l'actualité internationale directement dans votre boite mail