Attention à vous, le ransomware REvil est de retour

03 mai 2022 à 11h50
1
Ransomware
© Foxeel / Shutterstock

Un échantillon d’un ransomware obtenu par un chercheur en sécurité laisse penser que REvil est bel et bien de retour.

Le groupe avait cessé ses opérations en octobre dernier après avoir perdu le contrôle de ses sites Tor et après l'arrestation de plusieurs de ses membres par les autorités russes.

Une nouvelle opération repérée en avril

REvil, connu notamment pour son attaque sur l’entreprise Kaseya, semble avoir repris ses activités, quelques mois après l’arrestation de ses membres par les autorités russes. Depuis fin avril, l’infrastructure Tor du groupe de ransomwares a été remise en route, et l’adresse .onion de son ancien site redirige vers une nouvelle adresse. Les anciennes victimes de REvil sont listées sur ce nouveau site, de même que deux nouvelles qui semblent avoir été visées par la nouvelle opération.

Cependant, l'identité des personnes à l’origine de ce nouveau site n'était pas encore déterminée. Depuis la fin des opérations de REvil en octobre dernier, le site du groupe avait déjà connu des modifications. En novembre, un message déclarant que « REvil is bad » avait été ajouté à plusieurs pages du site, sans que l’on sache qui avait procédé à la modification. La redirection vers une nouvelle adresse n’était donc pas une preuve suffisante du retour de REvil, puisque l'on soupçonnait alors que des personnes autres que les membres de l’opération avaient accès à ces sites. Les chercheurs attendaient d’obtenir un échantillon d’un ransomware pour confirmer ou nier le retour des hackers, ce qui est désormais le cas.

Un échantillon de ransomware confirme le retour de REvil

Le 29 avril, Jakub Kroustek, directeur de la recherche sur les malwares chez Avast, a annoncé avoir obtenu un échantillon d’un ransomware qui semble être un variant du ransomware auparavant utilisé par REvil. Cette découverte confirme que les hackers sont bel et bien de retour, puisque tout indique que les créateurs de cette nouvelle version possèdent le code source du ransomware du groupe.

Or, les associés de REvil n’ont pas accès au code source des ransomwares utilisés dans les opérations, ce qui laisse sous-entendre qu’au moins un membre du groupe serait impliqué. D’après FellowSecurity, interrogé par BleepingComputer, ce serait l’un des développeurs principaux de REvil qui serait à l’origine de la nouvelle opération.

Ce nouveau variant présente plusieurs particularités. Le code a été modifié pour permettre des attaques plus ciblées, avec la possibilité de préciser des identifiants des victimes. Mais également, pour le moment, le ransomware ne fonctionne pas et se contente d’ajouter une extension aléatoire aux noms des fichiers, sans réellement les chiffrer.

D’autres indices lient ce ransomware à REvil : la note de rançon est similaire à celle utilisée auparavant, et, une fois qu’une victime se connecte sur le nouveau site, la page présentée est quasiment identique à celle de l’ancien site. Sur celle-ci, les hackers se présentent d’ailleurs comme étant « Sodinokibi », l’un des noms de REvil.

Malgré tous ces indices, comme noté par BleepingComputer, il est peu courant qu’un groupe de pirates informatiques soit aussi public à propos de son retour. Néanmoins, il est possible que les membres de REvil profitent du déclin des relations entre la Russie et les États-Unis à la suite de la guerre en Ukraine pour relancer leurs opérations.

Source : BleepingComputer

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
1
2
Passion1
Ça me rappelle le déferlement de la cocaïne au États-Unis dans les années 80 dont on accusait les cartels.
Voir tous les messages sur le forum

Lectures liées

Découvrez comment votre carte SIM pourrait protéger vos données des hackers
Attention à ce malware qui se propage et menace votre navigateur
Découvrez Proton, la toute nouvelle identité visuelle de ProtonMail
Opera VPN Pro est désormais disponible sur Windows et macOS
Zoom sur Fronton, le botnet russe qui multiplie les fake news sur les réseaux
YouTube retire 70 000 vidéos de désinformation pour contrecarrer la propagande russe sur la guerre en Ukraine
Face au malware XorDdos, Microsoft recommande son navigateur Edge aux utilisateurs de Linux
Ce bug dans PayPal permet à un hacker de manipuler les transactions
Attention, ce malware se cache dans un ficher Word vérolé, lui-même caché dans un PDF
Les Anonymous déclarent la cyberguerre à Killnet, un groupe de hackers pro-russes
Haut de page