Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

Germany Doxes “UNKN,” Head of RU Ransomware Gangs REvil, GandCrab

1 minute de lecture

Mis à jour :

Identification des leaders de REvil et GandCrab

Les autorités allemandes (BKA) ont formellement identifié Daniil Maksimovich Shchukin (alias « UNKN » ou « UNKNOWN ») et Anatoly Sergeevitsch Kravchuk comme étant les cerveaux derrière les groupes de rançongiciel GandCrab et REvil. Accusés d’avoir orchestré au moins 130 cyberattaques entre 2019 et 2021, ces individus auraient causé plus de 35 millions d’euros de dommages économiques.

Points clés :

  • Modèle opérationnel : Les groupes ont popularisé la « double extorsion » (chiffrement des données + menace de divulgation des documents volés).
  • Structure d’entreprise : REvil fonctionnait comme une organisation structurée, sous-traitant des services (accès initiaux, outils de chiffrement, blanchiment d’argent) pour maximiser ses profits, notamment auprès de grandes entreprises (« big-game hunting »).
  • Chute de REvil : Le groupe a été déstabilisé suite à l’attaque contre Kaseya en 2021, après que le FBI a infiltré ses serveurs et distribué des clés de déchiffrement gratuites.
  • Localisation : Shchukin résiderait actuellement à Krasnodar, en Russie.

Vulnérabilités exploitées : L’article souligne l’utilisation par REvil de vulnérabilités logicielles non patchées pour obtenir un accès initial aux réseaux. Un exemple notable est l’exploitation par le groupe d’une faille datant de 2015 au sein du logiciel Kaseya pour compromettre plus de 1 500 entités.

Recommandations :

  • Gestion des correctifs : Maintenir une veille stricte sur les vulnérabilités logicielles, en particulier pour les outils de gestion IT et les portails clients exposés, souvent ciblés par les courtiers en accès initial.
  • Stratégie de défense : Adopter une approche de défense en profondeur, incluant la segmentation du réseau pour limiter la propagation des rançongiciels en cas d’intrusion.
  • Protection des données : Prioriser le chiffrement des données sensibles et la mise en place de sauvegardes immuables hors ligne pour contrer les tactiques de double extorsion.
  • Assurance cyber : Bien que nécessaire, la souscription à des assurances cyber doit s’accompagner d’une posture de sécurité robuste, car la présence d’une police d’assurance fait des entreprises des cibles privilégiées pour les groupes comme REvil.

Source

Vous pourriez aimer