Rançongiciel REvil contre JBS Foods

Le 30 mai 2021, l'opération de rançongiciel REvil a chiffré simultanément les infrastructures de JBS S.A. — le plus grand transformateur de viande au monde en chiffre d'affaires — au sein de ses filiales américaine, canadienne et australienne. Des usines de transformation de bœuf et de porc représentant environ un cinquième de la capacité de transformation de viande des États-Unis ont interrompu leurs activités. Le PDG de JBS USA a par la suite confirmé un paiement de rançon de 11 millions de dollars en bitcoin, alors l'un des plus importants paiements de rançongiciel publiquement confirmés jamais enregistrés.

Ce qui s'est passé

L'intrusion a commencé des mois avant le chiffrement. Des opérateurs affiliés à REvil ont établi un accès de reconnaissance sur les réseaux de JBS USA en février 2021 et y sont restés présents pendant environ trois mois, cartographiant l'environnement et préparant la charge utile. Le vecteur d'accès initial n'a pas été divulgué publiquement.

Le 30 mai 2021 — le dimanche du week-end du Memorial Day aux États-Unis — les opérateurs ont déclenché le rançongiciel sur :

• JBS USA — transformation de bœuf et de porc dans plusieurs États
• JBS Canada — activités de transformation de bœuf à Brooks, en Alberta
• JBS Australie — transformation de porc et d'agneau

Lundi matin, les activités des usines JBS représentant environ 20 % de la capacité de transformation de bœuf et de porc des États-Unis étaient à l'arrêt. L'impact sur l'approvisionnement en viande des États-Unis a été rapide — les prix de gros du bœuf ont commencé à grimper dans les 48 heures suivant l'attaque — et suffisamment visible pour que la Maison-Blanche s'implique publiquement, la porte-parole Jen Psaki confirmant le 1er juin que l'administration avait :

• Communiqué directement avec la direction de JBS.
• Sollicité le gouvernement russe pour qu'il agisse contre les acteurs opérant depuis le territoire russe.
• Activé la coordination du ministère américain de l'Agriculture sur des approvisionnements alternatifs.

Le paiement

Le 2 juin 2021, JBS a payé 11 millions de dollars en bitcoin à REvil. Le PDG Andre Nogueira a confirmé publiquement le paiement le 9 juin, le présentant comme une « décision difficile » destinée à éviter de nouvelles perturbations et à garantir que les données ne soient pas ensuite divulguées.

Le paiement a été politiquement controversé. À l'époque :

• Le paiement de la rançon de Colonial Pipeline (4,4 M$) avait été effectué seulement trois semaines plus tôt et restait au cœur de l'actualité des politiques publiques.
• La position officielle du gouvernement américain était que le paiement de rançons était déconseillé mais non interdit.
• Les responsables de REvil n'avaient pas encore été désignés par l'OFAC (la désignation a suivi en 2023, à l'époque de l'acte d'accusation de Yaroslav Vasinskyi).

Le paiement de JBS a effectivement permis de débloquer le déchiffreur ; les usines ont repris leurs activités dans les heures suivant le paiement. La perturbation totale s'est limitée à environ 48 à 96 heures d'arrêt significatif.

Impact

• 20 % de la capacité de transformation de bœuf et de porc des États-Unis à l'arrêt pendant environ 48 à 96 heures.
• Les prix de gros du bœuf ont augmenté d'environ 1 % en quelques jours ; l'impact durable sur le marché a été modeste en raison du rétablissement rapide.
• 11 millions de dollars de rançon payés par JBS USA.
• Coûts directs de JBS au-delà de la rançon : environ 9 M$ en réponse à incident, investigation forensique et reconstruction d'infrastructure supplémentaire.
• Impact commercial total estimé par JBS à plus de 100 M$, incluant les concessions accordées aux clients à l'export et les investissements de sécurité accélérés qui ont suivi.

Attribution

Le FBI américain a publiquement attribué l'attaque à REvil le 2 juin 2021. L'attribution à des affiliés nommément désignés est apparue plus tard à travers :

• L'acte d'accusation du DOJ de novembre 2021 contre Yaroslav Vasinskyi pour l'attaque contre Kaseya VSA et les opérations REvil connexes.
• La saisie de 6,1 millions de dollars auprès de Yevgeniy Polyanin annoncée le même jour ; Polyanin a été publiquement désigné comme un affilié de REvil lié à plusieurs attaques, dont l'opération contre JBS. Polyanin reste en Russie et n'a pas été arrêté.

La condamnation de Vasinskyi en 2024 et sa peine de 13 ans et 7 mois pour l'ensemble de l'opération REvil font que la responsabilité des affiliés inculpés pour le REvil de l'époque JBS est indirectement appliquée — même si aucun individu n'a été spécifiquement poursuivi pour JBS.

Pourquoi c'est important

JBS est le cas emblématique du rançongiciel contre une infrastructure critique de l'approvisionnement alimentaire et la démonstration la plus médiatisée du début 2021 que payer la rançon peut rétablir rapidement les activités — au prix de tous les effets en aval (financement criminel, normalisation du paiement, risque de sanctions).

Il a établi :

• Que la transformation de viande constitue une infrastructure critique d'approvisionnement alimentaire vulnérable aux rançongiciels, avec un impact rapide sur les prix à la consommation.
• Qu'un déploiement simultané multi-pays est opérationnellement réalisable pour des opérateurs de rançongiciel sophistiqués — la coordination de REvil entre les États-Unis, le Canada et l'Australie lors d'un seul déclenchement le dimanche soir était inhabituelle à l'époque.
• Qu'une implication directe de la Maison-Blanche auprès des victimes de rançongiciel du secteur privé est désormais une réponse par défaut pour les événements touchant les infrastructures critiques. Les interventions concernant JBS, Colonial Pipeline et Kaseya en l'espace de six semaines ont établi ce modèle.
• Que la cybersécurité du secteur de l'approvisionnement alimentaire était, avant JBS, matériellement sous-investie. Les recommandations ultérieures de la CISA américaine et la formation d'un ISAC pour le secteur alimentaire découlent en partie de l'incident JBS.