Poursuivi par les autorités américaines après ses attaques contre les entreprises JBS et Kaseya, le gang REvil semblait avoir disparu pour de bon. Mais contre toute attente, il est réapparu début septembre. Une mauvaise nouvelle pour le monde de la cybersécurité.

REvil, un des rançongiciels les plus craints et les plus actifs depuis 2019 avait disparu le 13 juillet 2021. Le gang avait enchaîné coup sur coup des cyberattaques d’ampleurs inédites, au point de déclencher une action officielle de la part du gouvernement américain.

Tout signe de son existence avait alors disparu du web :

  • « Unknown » ou UNKW (pour « inconnu », ndlr), l’alias public de REvil sur les forums de hackers, n’existait plus.
  • Les infrastructures du groupe n’étaient plus en ligne, que ce soit le blog d’affichage des extorsions (surnommé « Happy Blog »), le site de négociation ou encore celui où les « décrypteurs » peuvent être récupérés, une fois la rançon payée.
  • Pendant deux mois, aucune nouvelle victime du groupe ne s’est déclarée.

Après deux mois sans signe, l’absence paraissait actée, et d’autres gangs s’étaient même lancés pour reprendre l’activité juteuse délaissée par REvil. La raison de la disparition restait — et reste encore — floue : la justice n’a pas communiqué sur d’éventuelles arrestations ou saisies, et les membres de l’organisation se sont murés dans le silence.

sorry.jpg

Joe Biden s’était exprimé publiquement sur les deux dernières attaques lancées par REvil. // Source : CCO/Gage Skidmore

Mais début septembre, le Bleeping Computer, référent sur l’actualité des rançongiciels, a progressivement réuni toutes les preuves d’un étonnant retour d’activité de REvil. D’abord, ses sites sont revenus en ligne, à l’identique d’avant sa disparition. Ensuite, une victime s’est déclarée le 9 septembre, pour une attaque détectée 5 jours plutôt. Enfin, le gang s’est de nouveau exprimé sur les forums russes, mais sous l’alias « Revil », le compte « Unknown » ayant disparu, semble-t-il pour de bon.

Ce retour est une terrible nouvelle pour le monde de la cybersécurité. Ces deux dernières années, REvil (aussi connu sous le nom Sodinokibi) s’est distingué par sa capacité à recruter des affiliés (les hackers « partenaires » qui lancent les cyberattaques ») plus compétents que la moyenne. Cet avantage lui permet de s’en prendre aux plus grandes organisations mondiales, et d’ainsi exiger des demandes de rançon qui peuvent s’élever à plusieurs dizaines de millions de dollars.

Disparu après des coups d’éclat

La majorité des experts ne s’attendaient pas au retour du gang ou du moins, pas sous cette forme. Habituellement, les cybercriminels ont tendance à créer une nouvelle « marque » quand leur groupe a été compromis. Ils retravaillent le code de leurs outils, recrutent de nouveaux associés et se séparent d’anciens : une façon de faire page blanche et de ne plus être attachés aux crimes passés. Mais REvil, lui, a décidé de faire comme si l’arrêt de deux mois n’avait pas existé. Il a repris les extorsions qui étaient en cours en juillet, et a même publié des données de victimes sur son site dédié.

Fin mai, REvil avait fait l’erreur de frapper le géant de l’agroalimentaire JBS dans les jours après l’attaque Colonial Pipeline. Particulièrement médiatisé, ce coup du gang rival Darkside avait mobilisé le président Joe Biden lui-même, et ce même traitement a été appliqué à l’attaque JBS.

Le décrypteur de Kaseya, mystère à résoudre

Peu de temps après, le 2 juillet 2021, REvil se faisait de nouveau remarquer, cette fois avec un coup mémorable dans l’histoire des rançongiciels. Les cybercriminels s’étaient procuré une vulnérabilité inconnue présente sur l’un logiciels de l’entreprise Kaseya, nommé VSA. Elle leur avait permis de s’infiltrer sur les réseaux de 60 clients, qui eux même s’occupaient des réseaux de 1 500 entreprises. Autrement dit, à partir d’une seule attaque, REvil avait fait des milliers de victimes. Il demandait 70 millions de dollars — soit la plus grosse rançon de l’histoire — contre la remise d’un « décrypteur », un outil supposément capable d’inverser les dégâts causés par son rançongiciel.

Dix jours après, le gang disparaissait, sans que les victimes aient été débloquées. Mais de nouveau 10 jours plus tard, ce fameux décrypteur se retrouvait dans les mains de Kaseya, fourni par « un parti tiers de confiance », ce qui a permis de déchiffrer gratuitement les réseaux des victimes. On ne sait pas encore à ce jour si un des opérateurs du gang a publié gratuitement le décrypteur pour calmer les autorités, ou si elles sont parvenues à se le procurer directement sur les infrastructures des cybercriminels. Quoiqu’il en soit, REvil est bien de retour, et la menace qu’il représente sera suivie de près.

une comparateur meilleur vpn numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !