Le FBI a saisi RAMP, un forum de cybercriminalité connu pour autoriser la promotion de campagnes de ransomware. L’opération marque la chute d’un espace devenu central dans un écosystème pourtant de plus en plus discret.
Le message affiché sur RAMP ne laisse guère de place au doute. Le forum, accessible aussi bien sur le réseau Tor que via son domaine public, affiche désormais un bandeau indiquant une saisie par le FBI, menée en coordination avec la justice fédérale américaine. Aucun communiqué détaillé n’est venu préciser les contours de l’opération, mais les serveurs DNS du domaine ont été redirigés vers l’infrastructure habituellement utilisée lors des saisies fédérales. Dans la foulée, un message attribué à un ancien opérateur du forum, relayé par BleepingComputer, a acté la perte de contrôle. Pour RAMP, longtemps présenté comme un refuge assumé du ransomware, le coup est net.
Un forum à part dans l’écosystème cybercriminel
RAMP apparaît à l’été 2021, dans un contexte bien précis. Après l’attaque de Colonial Pipeline, plusieurs forums russophones historiques ferment la porte à la promotion explicite du ransomware, sous la pression croissante des forces de l’ordre occidentales. Mais RAMP adopte la stratégie inverse. Le forum assume l’accueil d’annonces liées aux rançongiciels, au recrutement d’affiliés, à la vente de malwares et à la revente d’accès à des réseaux compromis.
Cette position lui permet de capter rapidement une partie des échanges déplacés ailleurs, et d’occuper une place singulière dans un paysage déjà fragmenté. RAMP devient un point de passage visible, utilisé pour structurer des activités qui, dans le reste de l’écosystème cybercriminel, se font plus discrètes. Le forum est attribué à un acteur connu sous plusieurs pseudonymes, Orange, Wazawaka ou BorisElcin, identifié comme Mikhail Matveev, déjà inculpé par la justice américaine en 2023 pour son implication présumée dans plusieurs opérations de ransomware, parmi lesquelles Babuk, Lockbit et Hive, puis arrêté par la Russie en 2024.
La saisie ne se limite pas à un affichage symbolique. Lorsqu’un forum de ce type est effectivement récupéré, l’enjeu se situe aussi dans ce qu’il contient, comptes, échanges privés, historiques de connexion, annonces et discussions opérationnelles. Autant d’éléments susceptibles d’alimenter des enquêtes, selon l’état réel de l’infrastructure et la qualité des traces laissées par ses utilisateurs.
Une fermeture qui ne garantit ni la disparition, ni l’oubli
Les diverses expériences récentes invitent toutefois à la prudence. La saisie d’un forum ne signe pas systématiquement sa fin. Cracked en a donné une démonstration très concrète. Saisi début 2025 dans le cadre d’une opération fédérale, le forum est réapparu quelques semaines plus tard sous un autre domaine, avec une base de données restaurée, une équipe renouvelée et des millions de messages remis en ligne. BreachForums suit une trajectoire comparable, alternant arrestations, fermetures, reprises et relances successives, sans jamais disparaître durablement.
Ces résurrections ne tiennent évidemment pas du hasard, les forums de ce type étant désormais pensés pour encaisser les coups, avec des sauvegardes régulières, des infrastructures redondantes et des plans de reprise déjà prêts. Lorsqu’un domaine tombe, la communauté ne disparaît pas avec lui. Elle migre, se recompose, parfois sous une autre bannière, parfois au profit d’acteurs opportunistes.
En définitive, l’impact réel de la saisie de RAMP se mesurera moins à court terme qu’à travers ses suites. Si des données exploitables ont été récupérées, elles peuvent nourrir des enquêtes, déboucher sur des inculpations ou produire des effets différés, parfois longtemps après la fermeture publique du site. À l’inverse, une réapparition sous une autre forme n’aurait rien d’exceptionnel.
Source : BleepingComputer
