REvil, une formidable opération Ransomware-as-a-Service (RaaS) apparue pour la première fois fin avril 2019, a fait son retour. Après six mois d'inactivité - suite au raid des autorités russes - le groupe de rançongiciels semble avoir repris ses activités.
L'analyse de nouveaux échantillons de rançongiciels révèle que le développeur a accès au code source de REvil, ce qui signifie que le groupe de menaces a réapparu. Ces soupçons ont été encore renforcés lorsque le site de l'équipe du rançongiciel a été relancé sur le dark web.
Nous avons déjà vu de nombreux groupes de rançongiciels, mais qu'est-ce qui rend REvil spécial? Que signifie le retour du groupe pour le cybermonde? Découvrons-le!
Qu'est-ce qui rend REvil Ransomware unique ?
REvil s'est bâti la réputation de poursuivre des cibles très médiatisées et très lucratives et d'exiger des paiements exorbitants de ses victimes. C'est aussi l'un des premiers groupes à adopter la tactique de la double extorsion dans laquelle ils exfiltraient les données de la victime et les cryptaient.
La rançongiciel double extorsion permet à REvil d'exiger deux rançons pour des gains financiers élevés. Dans une interview avec OSINT russe, les développeurs du groupe ont affirmé avoir gagné plus de 100 millions de dollars en un an en ciblant les grandes entreprises. Cependant, seule une fraction de celui-ci est allée aux développeurs, tandis que les affiliés se sont taillé la part du lion.
Attaques majeures de REvil Ransomware
Le groupe de rançongiciels REvil a été à l'origine de certains des les plus grandes attaques de ransomware de 2020-21. Le groupe est apparu pour la première fois sous les projecteurs en 2020 lorsqu'il a attaqué Travelex, entraînant finalement la disparition de l'entreprise. L'année suivante, REvil a commencé à faire la une des journaux en organisant des cyberattaques très lucratives qui ont perturbé les infrastructures publiques et les chaînes d'approvisionnement.
Le groupe a attaqué des entreprises comme Acer, Quanta Computer, JBS Foods et le fournisseur de logiciels et de gestion informatique Kaseya. Le groupe avait probablement des liens avec le Attaque notoire du pipeline colonial, qui a perturbé la chaîne d'approvisionnement en carburant aux États-Unis.
Suite à l'attaque du rançongiciel Kaseya REvil, le groupe est resté silencieux pendant un certain temps pour atténuer l'attention indésirable qu'il s'était attirée. Il y avait beaucoup de spéculations selon lesquelles le groupe prévoyait une nouvelle série d'attaques à l'été 2021, mais les forces de l'ordre avaient d'autres plans pour les opérateurs de REvil.
Jour du jugement pour le REvil Cyber Gang
Alors que le célèbre gang de rançongiciels refait surface pour de nouvelles attaques, ils ont découvert que leur infrastructure était compromise et s'est retournée contre eux. En janvier 2022, le service de sécurité de l'État russe FSB a annoncé avoir perturbé les activités du groupe à la demande des États-Unis.
Plusieurs membres de gangs ont été arrêtés et leurs avoirs saisis, dont des millions de dollars américains, d'euros et de roubles, ainsi que 20 voitures de luxe et des portefeuilles de crypto-monnaie. Les arrestations de rançongiciels REvil ont également eu lieu en Europe de l'Est, y compris en Pologne, où les autorités ont détenu un suspect dans l'attaque de Kaseya.
La chute de REvil après l'arrestation de membres clés du groupe a naturellement été bien accueillie dans la communauté de la sécurité, et beaucoup ont supposé que la menace était entièrement passée. Cependant, le sentiment de soulagement a été de courte durée car le gang a maintenant redémarré ses opérations.
La résurgence de REvil Ransomware
Des chercheurs de Secureworks a analysé un échantillon de malware de mars et a laissé entendre que le gang pourrait être de retour en action. Les chercheurs ont découvert que le développeur avait probablement accès au code source original utilisé par REvil.
Le domaine utilisé par le site Web de fuite REvil a également recommencé à fonctionner, mais il redirige désormais les visiteurs vers une nouvelle URL où plus de 250 organisations de victimes REvil sont répertoriées. La liste contient un mélange d'anciennes victimes de REvil et de quelques nouvelles cibles.
Oil India, une société pétrolière indienne, a été la plus importante des nouvelles victimes. La société a confirmé la violation de données et a reçu une demande de rançon de 7,5 millions de dollars. Bien que l'attaque ait suscité des spéculations selon lesquelles REvil reprenait ses opérations, il y avait encore des questions quant à savoir s'il s'agissait d'une opération de copie.
La seule façon de confirmer le retour de REvil était de trouver un échantillon du chiffreur de l'opération de ransomware et de voir s'il avait été compilé à partir du code source d'origine.
Fin avril, le chercheur d'Avast, Jakub Kroustek, a découvert le crypteur de ransomware et a confirmé qu'il s'agissait bien d'une variante de REvil. L'exemple n'a pas chiffré les fichiers, mais a ajouté une extension aléatoire aux fichiers. Les analystes de la sécurité ont déclaré qu'il s'agissait d'un bogue introduit par les développeurs de ransomwares.
Plusieurs analystes de la sécurité ont déclaré que le nouvel échantillon de ransomware est lié au code source d'origine, ce qui signifie qu'une personne du gang, par exemple un développeur principal, doit avoir été impliquée.
La composition du groupe REvil
La réapparition de REvil après les arrestations présumées au début de cette année a soulevé des questions sur la composition du groupe et ses liens avec le gouvernement russe. Le gang est devenu sombre en raison du succès de la diplomatie américaine avant le début du conflit russo-ukrainien.
Pour beaucoup, la résurgence soudaine du groupe suggère que la Russie pourrait vouloir l'utiliser comme multiplicateur de force dans les tensions géopolitiques en cours.
Comme aucun individu n'a encore été identifié, on ne sait pas qui est derrière l'opération. S'agit-il des mêmes personnes qui dirigeaient les opérations précédentes, ou un nouveau groupe a-t-il pris la relève ?
La composition du groupe de contrôle reste un mystère. Mais étant donné les arrestations plus tôt cette année, il est probable que le groupe ait quelques opérateurs qui ne faisaient pas auparavant partie de REvil.
Pour certains analystes, il n'est pas rare que des groupes de rançongiciels disparaissent et réapparaissent sous d'autres formes. Cependant, on ne peut pas entièrement éliminer la possibilité que quelqu'un profite de la réputation de la marque pour s'implanter.
Protection contre les attaques de REvil Ransomware
L'arrestation de la cheville ouvrière de REvil a été un grand jour pour la cybersécurité, en particulier lorsque les groupes de rançongiciels ciblaient tout, des institutions publiques aux hôpitaux et aux écoles. Mais comme on le voit avec toute perturbation de l'activité criminelle en ligne, cela ne signifiait pas la fin de la pandémie de ransomware.
Le danger dans le cas de REvil est le double stratagème d'extorsion dans lequel le groupe tenterait de vendre vos données et de ternir l'image et les relations clients d'une marque.
En général, une bonne stratégie pour contrer de telles attaques consiste à sécuriser votre réseau et à effectuer des tests de simulation. Une attaque de ransomware se produit souvent en raison de vulnérabilités non corrigées, et les attaques de simulation peuvent vous aider à les identifier.
Une autre stratégie d'atténuation clé consiste à vérifier tout le monde avant qu'il ne puisse accéder à votre réseau. En tant que telle, une stratégie de confiance zéro peut être bénéfique car elle fonctionne sur le principe de base de ne jamais faire confiance à personne et de vérifier chaque utilisateur et appareil avant de leur accorder l'accès aux ressources du réseau.