REvil, le groupe de pirates Ransomware-as-a-Service, se réveille après quelques mois de pause

10 septembre 2021 à 10h25
0

Les sites liés à REvil sont soudainement redevenus actifs, deux mois après leur disparition du devant de la scène.

Le gang avait disparu suite à l'attaque sur Kaseya et aux pressions qui ont suivi de la part de la Maison Blanche et des services de renseignement américains.

Une disparition soudaine en juillet

Le 2 juillet, REvil, un groupe de pirates spécialisés dans le « ransomware-as-a-service », avait profité d'une faille zero day dans un logiciel du groupe Kaseya pour les attaquer. Le logiciel en question étant utilisé par des MSP (Managed Service Providers), le ransomware avait réussi à se propager parmi eux mais aussi chez leurs clients. Devant l'ampleur de l'attaque, REvil avait fini par renoncer à demander des rançons individuelles et avait proposé une clé de déchiffrement universelle pour 70 puis 50 millions de dollars.

Le 9 juillet, le président Biden annonçait avoir appelé Vladimir Poutine, entre autres pour parler des attaques informatiques touchant les sociétés américaines. Plusieurs groupes de pirates, dont REvil, sont soupçonnés d'être sur le sol russe. Le président américain avait profité de cet appel pour demander à nouveau que les autorités russes se chargent du problème.

Le 13 juillet, il était annoncé que l'infrastructure et les sites liés à REvil étaient désormais hors-ligne. Le groupe possédait notamment deux sites, l'un servant à publier les leaks récupérés lors de leurs attaques et l'autre servant aux victimes pour négocier et payer les rançons. Un peu plus d'une semaine après, Kaseya avait annoncé avoir reçu la clé de déchiffrement universelle de la part d'un « tiers de confiance », sans plus de précisions.

Un retour mystérieux

Personne ne sait vraiment pourquoi REvil avait alors décidé de cesser ses activités. Certains soupçonnent que cette fermeture faisait suite à une demande des autorités russes, qui pourraient avoir donné à Kaseya la clé de déchiffrement. Une rumeur qui s'était également propagée au sein des milieux hackers et qui avait valu un ban d'un des forums les plus populaires au représentant du groupe, suspecté d'être sous contrôle policier. En tout cas, rien n'avait été confirmé.

Aujourd'hui, personne ne sait non plus pourquoi les sites de REvil sont de nouveau en ligne. Il est possible que le groupe reprenne ses activités : ce ne serait pas la première fois qu'un groupe disparaît pour revenir quelques mois après, sous une nouvelle forme ou sous le même nom. Le site utilisé pour les leaks a été le premier remis en ligne, avant que le deuxième site ne suive à son tour, avec un chrono remis à zéro.

S'il avait été un temps avancé que ce retour en ligne pouvait faire suite à des actions des autorités ou être une simple erreur, l'hypothèse semble de moins en moins probable. Les premières preuves d'un retour des activités de REvil commencent en effet à faire surface, comme semble l'indiquer ce tweet de Jakub Kroustek, directeur de recherche en malware chez Avast.

Modifié le 10/09/2021 à 10h30
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Lectures liées

Bon plan VPN : 2 mois gratuits + 1,93€/mois seulement chez Surfshark
Hôtels, gouvernements et entreprises : voici FamousSparrow, la nouvelle terreur du cyberespionnage
Voir l'écran du smartphone de son conjoint en temps réel sur une page web, c'est le business de cette entreprise de stalking
Bon Plan antivirus : Avast Ultimate à -60% pour les French Days
Bitdefender Total Security : un excellent antivirus à -60%
Le programme de bug bounty créé pour sécuriser Internet désormais hébergé chez HackerOne
CyberGhost VPN : profitez de l'offre à 1,90€/mois + 2 mois gratuits
AMD : une faille permet d'accéder à certaines pages mémoire de Windows et d'y trouver vos mots de passes
CyberGhost lance son VPN Gaming sur consoles (Playstation, Xbox et Nintendo)
Sélection rentrée antivirus : les meilleures offres du moment chez Bitdefender et Norton
Haut de page