🏛️ Contexte

Le 30 mars 2026, la Generalstaatsanwaltschaft Karlsruhe (Parquet général de Karlsruhe) a publié un communiqué de presse annonçant une avancée majeure dans la lutte contre la cybercriminalité organisée. L’enquête a été menée conjointement par le Cyber-crime-Zentrum (CCZ) rattaché au Parquet général de Karlsruhe et le Landeskriminalamt Baden-Württemberg (LKA).

🎯 Suspects identifiés

Deux individus ont été formellement identifiés et font l’objet de mandats d’arrêt :

  • Le chef présumé des groupes ransomware GandCrab et REvil (aussi connu sous le nom Sodinokibi)
  • Le programmeur présumé des malwares utilisés par ces groupes

Les deux suspects sont notamment soupçonnés d’être coresponsables de l’attaque contre les Württembergische Staatstheater Stuttgart en 2019. Une recherche internationale (Öffentlichkeitsfahndung) a été lancée.

🕒 Chronologie des groupes

  • GandCrab : actif en 2018 et 2019
  • REvil : fondé en 2019 par plusieurs membres de GandCrab, dont les deux suspects ; actif jusqu’en juillet 2021 au moins

⚙️ Mode opératoire (RaaS)

Les deux groupes opéraient selon un modèle Ransomware-as-a-Service (RaaS) avec division des tâches :

  • Les affiliates s’introduisaient dans les réseaux des victimes
  • Dans le cas de REvil, des données sensibles étaient exfiltrées avant chiffrement (double extorsion)
  • Les systèmes informatiques d’entreprises et d’institutions publiques étaient ensuite chiffrés à l’aide des logiciels fournis par les groupes
  • Des rançons élevées étaient demandées pour le déchiffrement et la non-publication des données

📰 Nature de l’article

Communiqué officiel d’une autorité judiciaire allemande annonçant une opération de police judiciaire internationale, avec déclenchement d’un avis de recherche mondial contre deux suspects liés aux groupes ransomware GandCrab et REvil.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • GandCrab (cybercriminal)
  • REvil (cybercriminal)

TTP

  • T1486 — Data Encrypted for Impact (Impact)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1657 — Financial Theft (Impact)

Malware / Outils

  • GandCrab (ransomware)
  • REvil (ransomware)

🔗 Source originale : https://generalstaatsanwaltschaft-karlsruhe.justiz-bw.de/pb/,Lde/Startseite/Presse/PM+vom+30_03_2026/?LISTPAGE=1222232

🖴 Archive : https://web.archive.org/web/20260402070506/https://generalstaatsanwaltschaft-karlsruhe.justiz-bw.de/pb/,Lde/Startseite/Presse/PM+vom+30_03_2026/?LISTPAGE=1222232