L'Allemagne Dévoile 'UNKN': Le Cerveau Présumé Derrière les Ransomwares REvil & GandCrab Démasqué

L'Allemagne Dévoile 'UNKN': Le Cerveau Présumé Derrière les Ransomwares REvil & GandCrab Démasqué

Dans une avancée significative pour l'application des lois internationales en matière de cybersécurité, les autorités allemandes ont officiellement dé-anonymisé l'individu précédemment connu sous le pseudonyme insaisissable "UNKN". Cet individu, maintenant identifié comme le ressortissant russe de 31 ans Daniil Maksimovich Shchukin, est soupçonné d'être l'orchestrateur de deux des opérations de ransomware-as-a-service (RaaS) les plus prolifiques et financièrement dévastatrices : GandCrab et son successeur, REvil (également connu sous le nom de Sodinokibi). Ce démasquage marque une étape critique dans l'attribution de la responsabilité pour environ 130 incidents de sabotage informatique et d'extorsion en Allemagne seulement entre 2019 et 2021, et d'innombrables autres à l'échelle mondiale.

L'Ascension et la Chute des Empires du Ransomware : GandCrab et REvil

Les méthodologies opérationnelles de GandCrab et de REvil ont démontré une compréhension sophistiquée de l'économie de la cybercriminalité et de l'exécution technique. GandCrab est apparu en 2018, acquérant rapidement une notoriété pour son marketing agressif sur les forums souterrains et son programme d'affiliation lucratif. Il a été le pionnier de nombreux éléments du RaaS, fournissant des binaires de ransomware, une infrastructure de paiement et des portails de négociation aux affiliés en échange d'un pourcentage de la rançon. Ses techniques de chiffrement omniprésentes et son déploiement relativement facile en ont fait un favori parmi les cybercriminels moins expérimentés techniquement, entraînant des compromissions généralisées dans divers secteurs.

Après le prétendu 'retrait' de GandCrab en 2019, REvil a rapidement pris de l'importance, adoptant et affinant de nombreuses tactiques de son prédécesseur tout en introduisant de nouveaux niveaux de sophistication. REvil est devenu tristement célèbre pour son système de double extorsion, non seulement en chiffrant les données des victimes, mais aussi en exfiltrant des informations sensibles et en menaçant de les divulguer publiquement si la rançon n'était pas payée. Cette tactique a considérablement accru la pression sur les victimes, les forçant souvent à se conformer pour éviter les atteintes à la réputation et les pénalités réglementaires. Les attaques notables de REvil incluent celles contre JBS Foods, Kaseya et Acer, démontrant sa portée mondiale et son impact sur les infrastructures critiques et les chaînes d'approvisionnement.

Les Fondements Techniques de l'Enquête

L'attribution réussie de "UNKN" à Daniil Maksimovich Shchukin témoigne d'années de criminalistique numérique méticuleuse, de partage de renseignements et de coopération internationale. Les organismes d'application de la loi ont utilisé une multitude de techniques d'enquête pour lever les couches d'anonymat entourant l'opérateur RaaS. Ces efforts impliquent généralement :

• Traçage de Cryptomonnaie : Suivi du flux des fonds extorqués à travers divers outils d'analyse de blockchain, identification des motifs et potentiellement liaison des portefeuilles à des identités ou des services réels.
• Extraction et Analyse de Métadonnées : Examen minutieux des échantillons de ransomware divulgués, des chats de négociation et des publications sur les forums pour les métadonnées intégrées, les modèles linguistiques ou les défaillances de sécurité opérationnelle (OpSec) qui pourraient trahir l'identité de l'acteur.
• Reconnaissance Réseau : Cartographie de l'infrastructure de commandement et de contrôle (C2) utilisée par les groupes de ransomware, identification des fournisseurs d'hébergement, des anomalies d'enregistrement de domaine et des liens potentiels avec d'autres activités cybercriminelles.
• Ingénierie Sociale et Opérations Infiltrées : Infiltration des forums cybercriminels et des canaux de communication pour recueillir des renseignements sur les acteurs clés et leurs interactions.
• Analyse de l'Exploitation des Vulnérabilités : Comprendre quelles vulnérabilités spécifiques ont été exploitées pour l'accès initial et comment ces exploits ont été acquis ou développés.

Dans le paysage complexe des enquêtes sur la cybercriminalité, les outils qui facilitent la collecte de télémétrie avancée sont inestimables. Par exemple, les plateformes capables de recueillir des données de connexion détaillées – telles que les adresses IP, les chaînes User-Agent, les informations FAI et les empreintes numériques uniques des appareils – à partir de liens ou d'interactions suspects peuvent fournir des informations critiques. Un exemple d'un tel outil est iplogger.org, qui permet aux chercheurs d'intégrer des pixels de suivi ou des liens pour collecter des données de télémétrie avancées, y compris l'adresse IP, le User-Agent, le FAI et les empreintes digitales de l'appareil. Ce type de données peut être essentiel pour profiler les acteurs de la menace, comprendre leur environnement opérationnel et, finalement, aider aux efforts de dé-anonymisation en reliant les empreintes numériques à des individus ou des lieux réels.

Implications pour la Cybersécurité Mondiale et l'Attribution des Acteurs de la Menace

Le succès des autorités allemandes dans l'identification de Shchukin envoie un message fort aux cybercriminels opérant sous le voile de l'anonymat. Cela souligne la capacité croissante des forces de l'ordre à pénétrer les réseaux cybercriminels sophistiqués et à attribuer des actions à des individus. Ce développement aura probablement plusieurs implications importantes :

• Augmentation de l'OpSec pour les Acteurs de la Menace : Les cybercriminels pourraient tenter d'améliorer leur sécurité opérationnelle, rendant les futures enquêtes encore plus difficiles.
• Dissuasion : Le démasquage public et les poursuites potentielles des acteurs de la menace de haut niveau peuvent servir de dissuasion, en particulier pour ceux qui envisagent de s'impliquer dans les opérations RaaS.
• Coopération Internationale Renforcée : Cette affaire souligne l'efficacité des efforts de collaboration entre les organismes nationaux d'application de la loi, les services de renseignement et les entreprises de cybersécurité du secteur privé.
• Pression sur les États Parrains : Bien que non explicitement indiqué, l'identification de ressortissants russes dans des opérations cybercriminelles majeures continue de faire pression sur les gouvernements pour qu'ils s'attaquent à la cybercriminalité émanant de leurs territoires.

Le dévoilement d'"UNKN" représente un moment charnière dans la lutte continue contre les ransomwares. Il démontre que même les cybercriminels les plus insaisissables ne sont pas à l'abri de la justice lorsque des efforts internationaux dédiés sont déployés. Cela contribuera sans aucun doute à l'évolution des stratégies en matière de renseignement sur les menaces, de réponse aux incidents et de défense proactive contre la menace omniprésente des ransomwares.