L'arrestation d'un affilié suspecté de rançongiciel a été effectuée par le Centre européen de lutte contre la cybercriminalité d'Europol en collaboration avec la police nationale roumaine et le Bureau fédéral d'enquête (FBI). Le suspect a été accusé d'avoir volé des données hautement sensibles à plusieurs organisations.
Selon le communiqué de presse d'Europol, l'arrestation d'un Roumain de 41 ans a eu lieu à Craiova, en Roumanie. Il a été accusé d'avoir compromis le réseau de l'une des plus grandes sociétés informatiques roumaines qui offre des services à des clients dans divers secteurs tels que la vente au détail, les services publics et l'énergie.
Le suspect a été inculpé d'avoir attaqué diverses organisations avec différentes attaques de rançongiciels et d'avoir volé des informations sensibles. Il était également soupçonné d'avoir exigé des paiements de rançon en crypto-monnaie et menacé la victime de divulguer les données volées si l'argent d'extorsion n'était pas livré.
Selon le rapport, les informations volées par le suspect comprenaient des données financières sur l'organisation, des informations confidentielles sur les travailleurs, des détails sur les clients et d'autres détails sensibles.
La Direction roumaine d'enquête sur le crime organisé et le terrorisme (DIICOT) a mené l'enquête dans le cadre de la plate-forme pluridisciplinaire européenne contre les menaces criminelles (EMPACT) avec l'aide du FBI et de l'EC3 d'Europol.
L'affiliation suspecte à un gang de rançongiciel particulier n'est toujours pas confirmée à ce stade. Cependant, cela correspond à la précédente arrestation effectuée par les forces de l'ordre roumaines le mois dernier, le 8 novembre, lorsqu'elles ont arrêté deux suspects soupçonnés d'être des affiliés au rançongiciel Sodinokibi/REvil.
Les autorités koweïtiennes ont également arrêté un affilié du rançongiciel GandGrab le même jour. Ils étaient supposés être à l'origine des 7 000 attaques et réclamaient 200 millions d'euros de rançons.
Selon Europol :
Toutes ces arrestations font suite aux efforts conjoints des forces de l'ordre internationales d'identification, d'écoute électronique et de saisie de certaines des infrastructures utilisées par la famille de rançongiciels Sodinokibi/REvil, qui est considérée comme le successeur de GandCrab.
En novembre, alors qu'elle s'adressait à l'Associated Press, la sous-procureure générale américaine Lisa Monaco a également confirmé que les États-Unis réprimeraient les activités de ransomware. Plus tôt cette année, le président Joe Biden a également tenu une réunion sur la cybersécurité avec les PDG d'Apple, Microsoft, Amazon et bien d'autres pour lutter contre la montée des cyberattaques.
Alors que les opérateurs de gangs de ransomwares sont toujours en sécurité en Russie, ces arrestations ont confirmé que les forces de l'ordre du monde entier sont désormais prêtes à perturber leurs opérations de Ransomware-as-a-Service (RaaS) en capturant des affiliés.
Les chercheurs en sécurité ont également constaté une augmentation des activités des acteurs chinois de la menace sur les forums russes du Dark Web. Les acteurs russes de la menace ne sont pas les seuls à cibler les entreprises européennes et américaines avec des cyberattaques. Auparavant, les pirates iraniens ciblaient également les organisations américaines avec Ransomware.