Les chercheurs allemands ont nommé et affronté deux hommes qui sont à l'avant-garde de deux des campagnes de ransomware les plus troublantes de ces dernières années. Selon l'Office fédéral des enquêtes criminelles d'Allemagne (BKA), les dirigeants présumés sont Daniil Maksimovich Chuchukine 31 ans; et Anatoly Sergeevitsch Kravchuk 43. L'institution affirme que les deux ont mené, entre le début de 2019 et au moins juillet 2021, des opérations derrière les noms GandCrab et Revil, deux familles Ransomware qui ont marqué un moment pour leur portée et leur modèle d'affaires criminelle.
La gravité du cas est mesurée à la fois par le nombre d'attaques et par les dommages économiques. La BKA attribue à ces personnes la participation à au moins 130 extorsions dirigées contre des entreprises en Allemagne; au moins 25 victimes auraient payé des cautions pour un total d'environ 2,2 millions de dollars, tandis que le préjudice économique global causé par leurs actions est estimé à plus de 40 millions de dollars, selon les chiffres offerts par les autorités.
Pour comprendre pourquoi ces groupes étaient si efficaces, il est important de remonter aux origines. GandCrab est apparu au début de 2018 et, après quelques années d'activité, son opérateur principal a annoncé son retrait en 2019 au motif qu'il avait obtenu d'énormes revenus au cours de sa trajectoire. La stratégie de GandCrab - et la leçon qu'il a laissée au crime organisé en ligne - était d'affiner le modèle d'affiliation : un développeur central qui fournit le code et l'infrastructure, et un réseau d'affiliations qui infiltrent les réseaux et exécutent les attaques. Sur cette base, Revil (aussi connu sous le nom de Sodinokibi) est né, en grande partie composé d'anciens affiliés GandCrab qui ont déplacé tactiques et contacts.
Le mal a monté l'extorsion en ajoutant des tactiques de pression publique qui ont fini par en faire une menace mondiale. En plus du chiffrement des fichiers, le groupe a géré des sites publics où il a divulgué des données volées et même mis aux enchères des informations sensibles pour forcer les victimes à payer. Parmi ses objectifs figuraient les gouvernements locaux du Texas, de grandes sociétés comme Acer et une attaque de la chaîne d'approvisionnement contre Kaseya qui ont touché environ 1 500 organisations clientes de fournisseurs intermédiaires, un incident qui a révélé la fragilité d'écosystèmes commerciaux très interconnectés. Les conséquences de cette vague d ' attaques se sont traduites par de multiples avertissements et analyses de sécurité, y compris ceux publiés par des organismes tels que la CISA et par des moyens spécialisés dans la cybersécurité ( Avis conjoint sur Sodinokibi / Revil et couverture détaillée de l ' incident de Kaseya Krebs sur la sécurité).
La popularité du Révil a entraîné une pause forcée à la suite de la grande attaque contre Kaseya : les opérations ont cessé et, pendant cette période, différentes forces de police ont eu accès à l'infrastructure et ont surveillé l'activité. Depuis, des enquêtes et des arrestations ont eu lieu dans plusieurs pays, y compris une série d'arrestations en Russie et des mouvements coordonnés des autorités internationales. Cette pression de la police a montré que le réseau criminel avait des points vulnérables, mais a également souligné les limites de la coopération judiciaire internationale lorsque les auteurs présumés résident dans des juridictions difficiles à traiter depuis l'étranger ( opérations de coordination internationale suivi journalistique des raids).
Dans sa déclaration, BKA déclare que les deux suspects seraient en Russie et appelle à la collaboration citoyenne pour les localiser. Pour faciliter l'identification, ils ont publié des photographies et des détails physiques, y compris des tatouages, et ont créé des entrées sur le portail européen des personnes recherchées ( Les plus recherchés de l'UE). La publication de ce type de données est une double intention : rechercher des témoins et, en même temps, réduire la capacité d'impunité des groupes qui ont fait de la cybercriminalité une affaire internationalisée.
Au-delà de la chasse pour des individus spécifiques, l'histoire de GandCrab et de Revil laisse des leçons utiles pour les entreprises et les responsables de la sécurité. Premièrement, que le modèle d'affiliation facilite une prolifération rapide des techniques : lorsque les outils et les contacts circulent dans des forums clandestins, de nouveaux acteurs émergent facilement. Deuxièmement, la combinaison du chiffrement et de la contrainte publique - filtrage ou vente aux enchères - augmente la pression psychologique sur les victimes et augmente la probabilité de paiement. Troisièmement, les chaînes d'approvisionnement demeurent un vecteur critique : une attaque contre un fournisseur peut canaliser des milliers de victimes potentielles en quelques heures.
Les réponses efficaces devraient également être systémiques : pratiques exemplaires en cyberhygiène, segmentation du réseau, sauvegarde vérifiée, plans de rétablissement éprouvés et collaboration plus fluide entre le secteur privé et les autorités. Les agences de sécurité et les groupes d'intervention publient des lignes directrices que toute organisation peut consulter pour élever son niveau de défense; les rapports et les avis émanant d'entités telles que la CISA, Europol ou de grandes entreprises de sécurité sont de bons points de départ pour la mise à jour des politiques et procédures techniques.
Pour l'instant, ce qui existe est un mélange d'avancées opérationnelles de la part des forces de sécurité et de la réalité selon laquelle bon nombre des cerveaux derrière les opérations sont encore hors de portée. La recherche BKA et la diffusion publique des données d'identification visent à réduire ce domaine de l'impunité Mais ils se souviennent aussi que la lutte contre le Ransomware est une longue tâche qui combine l'intelligence technique, la coopération internationale et, surtout, la sensibilisation des entreprises aux risques et aux mesures qui réduisent réellement la probabilité d'être victimes.
Si vous voulez approfondir le contexte technique et judiciaire de ces épisodes, vous pouvez consulter la déclaration BKA sur les personnes énumérées dans les liens précédents, les enquêtes journalistiques qui ont couvert le retrait du premier dirigeant de GandCrab et les analyses techniques et les avis officiels qui documentaient la tactique de REvil et les conséquences de l'attaque contre Kaseya, tels que ceux publiés par la Calculateur, Krebs sur la sécurité et Avertissement technique de la CISA.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...