Yaroslav Vasinskyi, persona en ligne Robotnik, est un citoyen ukrainien arrêté à la frontière polonaise en octobre 2021, extradé vers les États-Unis en mars 2022, et condamné en mai 2024 pour avoir opéré comme affilié du rançongiciel REvil.
L’attaque Kaseya
Le 2 juillet 2021, des affiliés REvil ont exploité CVE-2021-30116, une injection SQL zero-day dans la plateforme VSA de Kaseya. Les attaquants ont poussé le chiffreur REvil sous forme de « correctif VSA » via le mécanisme de mise à jour de Kaseya, se propageant à ~60 prestataires de services managés et à travers eux à entre 1 500 et 2 000 organisations en aval.
La plus grande attaque par rançongiciel de chaîne d’approvisionnement de l’époque. La chaîne Coop, deuxième chaîne de supermarchés suédoise, a fermé ses 800 magasins pendant plusieurs jours car ses terminaux de paiement avaient été chiffrés via un MSP en aval. REvil demandait 70 millions de dollars pour un déchiffreur universel.
Arrestation, extradition, procès
- 8 octobre 2021 : arrêté à la frontière polono-ukrainienne.
- 3 mars 2022 : extradé vers les États-Unis.
- 1er mai 2024 : condamné dans le District Moyen de Pennsylvanie à 13 ans 7 mois de prison fédérale et 16 millions de dollars de dommages-intérêts.
Pourquoi c’est important
Vasinskyi est l’un des très rares opérateurs de rançongiciels jamais jugés dans un pays occidental. La combinaison de facteurs nécessaires était spécifique : nationalité ukrainienne (et non russe), franchissement de frontière hors d’Ukraine, et compromission par le FBI de l’infrastructure REvil qui a produit des mois de logs incriminant des individus nommés.