Le forum darknet saisi : un coup de précision sur l'écologie mondiale du ransomware

Le 15 mai, heure de l'Est des États-Unis, lorsque les utilisateurs ont tenté d'accéder au forum du dark web RAMP, l'interface de transaction noire familière avait été remplacée par un avis officiel de saisie. L'avis indiquait : Le FBI a saisi RAMP. Accompagnant cet avis, la célèbre phrase de promotion du forum — Le seul endroit où discuter de rançongiciels est autorisé ! — était affichée à côté d'une image ironique de Macha, le personnage du dessin animé russe "Macha et Michka", clignant de l'œil. Cette opération, menée par le FBI en collaboration avec le bureau du procureur fédéral du district sud de la Floride et la section des crimes informatiques et de la propriété intellectuelle du ministère de la Justice, marque un tournant crucial dans la lutte des forces internationales de l'ordre contre l'écosystème cybercriminel russophone. En tant que l'un des rares marchés majeurs du dark web à autoriser ouvertement la promotion d'activités liées aux rançongiciels après 2021, la disparition de RAMP a non seulement coupé un carrefour central d'échanges criminels, mais signifie également que les autorités ont probablement obtenu d'énormes quantités de données utilisateurs et d'enregistrements de communication en coulisses.

Une opération d'application de la loi longuement planifiée et une prise de contrôle technologique.

D'un point de vue technique, cette saisie a été menée de manière nette et précise. Les forces de l'ordre ont non seulement pris le contrôle de l'adresse du service Tor en oignon de RAMP, mais ont également repris son domaine en surface ramp4u.io. Les enregistrements du serveur de noms ont été basculés vers les serveurs habituellement utilisés par le FBI lors des opérations de saisie. Ce double contrôle signifie que, quelle que soit la méthode utilisée par les internautes pour tenter d'y accéder, ils seront confrontés à l'avis des forces de l'ordre. Des chercheurs en cybersécurité soulignent que cette méthode de reprise est identique aux précédentes interventions sur des forums criminels similaires (comme AlphaBay, Hans Market), suivant le modèle typique de prise de contrôle discrète suivie d'une annonce soudaine.

La clé réside dans les données. Le post publié par l'administrateur du forum Stallman sur un autre forum de hackers, XSS, confirme la fermeture et exprime de la frustration : les forces de l'ordre ont pris le contrôle du forum RAMP... Cela a anéanti mon travail de plusieurs années pour construire "le forum le plus libre du monde". Ses inquiétudes sont fondées. Un forum criminel actif pendant près de trois ans doit nécessairement contenir dans sa base de données un grand nombre d'adresses e-mail d'utilisateurs enregistrés, des adresses IP potentiellement divulguées, des messages privés, des historiques de transactions, des adresses de portefeuille Bitcoin, et même des journaux de gestion interne. Pour tout acteur de menace présentant des lacunes en matière de sécurité opérationnelle (Opsec), ces données peuvent constituer des indices menant à sa véritable identité. Après l'attaque par ransomware DarkSide contre Colonial Pipeline en 2021, la pression accrue des forces de l'ordre occidentales a conduit les principaux forums de hackers russophones comme Exploit et XSS à interdire successivement les discussions publiques sur les ransomwares. C'est dans ce contexte que RAMP a vu le jour en juillet 2021, comblant rapidement un vide sur le marché et devenant la principale place de marché pour de nombreux groupes de ransomwares pour recruter des affiliés, acheter et vendre des accès réseau, et échanger des techniques d'attaque.

Les figures clés derrière le forum et l'origine du chaos.

La naissance de RAMP est étroitement liée à un acteur de menace nommé Orange, qui utilise également les alias Wazawaka et BorisElcin. Son identité réelle est celle du citoyen russe Mikhail Matveev, une révélation faite par le journaliste renommé en cybersécurité Brian Krebs et confirmée par Matveev lui-même auprès du chercheur de Recorded Future, Dmitry Smilyanets. Le parcours criminel de Matveev est emblématique : il a été administrateur du groupe de rançongiciel Babuk, qui a fermé en 2021 après une scission interne suite à l'attaque contre le Département de police métropolitaine de Washington D.C. La scission a été déclenchée par un désaccord interne sur la divulgation publique des données volées des forces de l'ordre. Après la fuite de données, le groupe s'est dissous.

Matveev a utilisé le nom de domaine Tor et l'infrastructure existants de Babuk pour créer RAMP. Il a affirmé avoir fondé le forum afin de réutiliser le trafic et les installations existants de Babuk, soulignant que RAMP n'a finalement pas été rentable et a subi des attaques DDoS prolongées, ce qui l'a conduit à se retirer progressivement de la gestion après que le forum ait gagné en popularité. Cependant, les archives officielles dépeignent un tableau différent. En 2023, le département de la Justice des États-Unis a engagé des poursuites contre Matveev, l'accusant de participation à plusieurs opérations de rançongiciels, notamment Babuk, LockBit et Hive, qui ciblaient des établissements de santé américains, des services répressifs et d'autres infrastructures critiques. La même année, l'Office of Foreign Assets Control (OFAC) du département du Trésor américain lui a imposé des sanctions, le FBI l'a placé sur sa liste des criminels les plus recherchés, et le département d'État américain a offert une récompense allant jusqu'à 10 millions de dollars pour des informations menant à son arrestation ou à sa condamnation.

Impact en chaîne sur l'écosystème mondial de la cybercriminalité par rançongiciel.

La fermeture de RAMP n'est pas un événement isolé, mais le dernier maillon d'une chaîne de coopération internationale pour lutter contre la cybercriminalité liée aux rançongiciels. Au cours des deux dernières années, depuis l'infiltration et le démantèlement des infrastructures du groupe de rançongiciels Hive, jusqu'à l'arrestation des principaux administrateurs de LockBit et le piratage de son site de fuites par la police, les actions des forces de l'ordre évoluent d'une simple arrestation de criminels individuels vers une destruction systématique des infrastructures en ligne et des systèmes de confiance dont ils dépendent. En tant que plateforme d'intermédiation d'informations, de marché des talents et de réputation, les fonctionnalités de RAMP sont difficiles à remplacer rapidement.

Les analystes soulignent que cette frappe a produit plusieurs effets. À court terme, elle a créé un effet dissuasif, contraignant les affiliés actifs des rançongiciels à se tourner vers des canaux de communication plus discrets et plus confidentiels, augmentant ainsi leurs coûts de collaboration et leurs risques de confiance. À moyen terme, les forces de l'ordre, en analysant les données saisies, peuvent dresser une cartographie plus claire des réseaux criminels, ce qui pourrait déclencher une nouvelle vague d'arrestations mondiales. À long terme, cela comprime continuellement l'espace de survie du modèle de rançongiciel en tant que service, forçant les modes criminels à évoluer ou à se déplacer. Cependant, des défis persistent. La plupart des opérateurs clés se trouvent dans des juridictions sans traité d'extradition avec les États-Unis, rendant les arrestations physiques extrêmement difficiles. Tant que les gains économiques des attaques par rançongiciel restent considérables, de nouveaux forums continueront d'émerger dans les recoins les plus obscurs du dark web.

Évolution de la logique offensive et défensive à l'ère nouvelle de l'application de la loi sur Internet.

Cette opération a clairement démontré un changement de stratégie dans l'application de la loi contre la cybercriminalité moderne : passer de l'arrestation des individus à la destruction des écosystèmes. Plutôt que de passer des années à traquer une adresse de cryptomonnaie anonyme, il est plus efficace de prendre directement le contrôle de sa plateforme de communication et d'obtenir le graphe social de toute une communauté. Cela ressemble davantage à une guerre du renseignement. La page de saisie du FBI a délibérément utilisé les propres slogans de RAMP et des symboles culturels russes. Cette moquerie psychologique et cette intimidation font elles-mêmes partie de la guerre de l'information, visant à saper le moral de la communauté criminelle et à proclamer publiquement les capacités technologiques des agences d'application de la loi.

La raison plus profonde réside dans l'entrelacement de la géopolitique et du cyberespace. Bien que des personnages clés tels que Matveyev se trouvent en Russie, l'infrastructure serveur de RAMP, les bureaux d'enregistrement de domaines, et même certains utilisateurs entrent inévitablement en contact avec des entités numériques relevant de la juridiction des États-Unis et de leurs alliés. Cela offre des points de saisie pour l'application transfrontalière de la loi. D'un point de vue stratégique, poursuivre les attaques contre ces plateformes de cybercriminalité très médiatisées est à la fois une mesure nécessaire pour protéger les infrastructures critiques nationales et une manière d'établir des règles et de démontrer des capacités dans le cyberespace. Pour les entreprises mondiales, la disparition de RAMP est un signal positif, mais certainement pas une fin en soi. La racine de la menace des ransomwares réside dans le modèle économique lucratif sans frontières et le déséquilibre du système de défense numérique mondial. Tant que des vulnérabilités existent et que des rançons sont payées, ce jeu du chat et de la souris entre le dark web et le web visible est loin d'être terminé. Chaque victoire majeure des forces de l'ordre ne marque que le début d'un nouveau cycle d'attaques et de défenses.