REvil, un des rançongiciels les plus craints et les plus actifs depuis 2019 avait disparu le 13 juillet 2021. Le gang avait enchaîné coup sur coup des cyberattaques d’ampleurs inédites, au point de déclencher une action officielle de la part du gouvernement américain.
Tout signe de son existence avait alors disparu du web :
- « Unknown » ou UNKW (pour « inconnu », ndlr), l’alias public de REvil sur les forums de hackers, n’existait plus.
- Les infrastructures du groupe n’étaient plus en ligne, que ce soit le blog d’affichage des extorsions (surnommé « Happy Blog »), le site de négociation ou encore celui où les « décrypteurs » peuvent être récupérés, une fois la rançon payée.
- Pendant deux mois, aucune nouvelle victime du groupe ne s’est déclarée.
Après deux mois sans signe, l’absence paraissait actée, et d’autres gangs s’étaient même lancés pour reprendre l’activité juteuse délaissée par REvil. La raison de la disparition restait — et reste encore — floue : la justice n’a pas communiqué sur d’éventuelles arrestations ou saisies, et les membres de l’organisation se sont murés dans le silence.
Joe Biden s’était exprimé publiquement sur les deux dernières attaques lancées par REvil. // Source : CCO/Gage Skidmore
Mais début septembre, le Bleeping Computer, référent sur l’actualité des rançongiciels, a progressivement réuni toutes les preuves d’un étonnant retour d’activité de REvil. D’abord, ses sites sont revenus en ligne, à l’identique d’avant sa disparition. Ensuite, une victime s’est déclarée le 9 septembre, pour une attaque détectée 5 jours plutôt. Enfin, le gang s’est de nouveau exprimé sur les forums russes, mais sous l’alias « Revil », le compte « Unknown » ayant disparu, semble-t-il pour de bon.
Ce retour est une terrible nouvelle pour le monde de la cybersécurité. Ces deux dernières années, REvil (aussi connu sous le nom Sodinokibi) s’est distingué par sa capacité à recruter des affiliés (les hackers « partenaires » qui lancent les cyberattaques ») plus compétents que la moyenne. Cet avantage lui permet de s’en prendre aux plus grandes organisations mondiales, et d’ainsi exiger des demandes de rançon qui peuvent s’élever à plusieurs dizaines de millions de dollars.
Disparu après des coups d’éclat
La majorité des experts ne s’attendaient pas au retour du gang ou du moins, pas sous cette forme. Habituellement, les cybercriminels ont tendance à créer une nouvelle « marque » quand leur groupe a été compromis. Ils retravaillent le code de leurs outils, recrutent de nouveaux associés et se séparent d’anciens : une façon de faire page blanche et de ne plus être attachés aux crimes passés. Mais REvil, lui, a décidé de faire comme si l’arrêt de deux mois n’avait pas existé. Il a repris les extorsions qui étaient en cours en juillet, et a même publié des données de victimes sur son site dédié.
Fin mai, REvil avait fait l’erreur de frapper le géant de l’agroalimentaire JBS dans les jours après l’attaque Colonial Pipeline. Particulièrement médiatisé, ce coup du gang rival Darkside avait mobilisé le président Joe Biden lui-même, et ce même traitement a été appliqué à l’attaque JBS.
Le décrypteur de Kaseya, mystère à résoudre
Peu de temps après, le 2 juillet 2021, REvil se faisait de nouveau remarquer, cette fois avec un coup mémorable dans l’histoire des rançongiciels. Les cybercriminels s’étaient procuré une vulnérabilité inconnue présente sur l’un logiciels de l’entreprise Kaseya, nommé VSA. Elle leur avait permis de s’infiltrer sur les réseaux de 60 clients, qui eux même s’occupaient des réseaux de 1 500 entreprises. Autrement dit, à partir d’une seule attaque, REvil avait fait des milliers de victimes. Il demandait 70 millions de dollars — soit la plus grosse rançon de l’histoire — contre la remise d’un « décrypteur », un outil supposément capable d’inverser les dégâts causés par son rançongiciel.
Dix jours après, le gang disparaissait, sans que les victimes aient été débloquées. Mais de nouveau 10 jours plus tard, ce fameux décrypteur se retrouvait dans les mains de Kaseya, fourni par « un parti tiers de confiance », ce qui a permis de déchiffrer gratuitement les réseaux des victimes. On ne sait pas encore à ce jour si un des opérateurs du gang a publié gratuitement le décrypteur pour calmer les autorités, ou si elles sont parvenues à se le procurer directement sur les infrastructures des cybercriminels. Quoiqu’il en soit, REvil est bien de retour, et la menace qu’il représente sera suivie de près.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !
