Un échantillon d’un ransomware obtenu par un chercheur en sécurité laisse penser que REvil est bel et bien de retour.
Le groupe avait cessé ses opérations en octobre dernier après avoir perdu le contrôle de ses sites Tor et après l'arrestation de plusieurs de ses membres par les autorités russes.
Une nouvelle opération repérée en avril
REvil, connu notamment pour son attaque sur l’entreprise Kaseya, semble avoir repris ses activités, quelques mois après l’arrestation de ses membres par les autorités russes. Depuis fin avril, l’infrastructure Tor du groupe de ransomwares a été remise en route, et l’adresse .onion de son ancien site redirige vers une nouvelle adresse. Les anciennes victimes de REvil sont listées sur ce nouveau site, de même que deux nouvelles qui semblent avoir été visées par la nouvelle opération.
Cependant, l'identité des personnes à l’origine de ce nouveau site n'était pas encore déterminée. Depuis la fin des opérations de REvil en octobre dernier, le site du groupe avait déjà connu des modifications. En novembre, un message déclarant que « REvil is bad » avait été ajouté à plusieurs pages du site, sans que l’on sache qui avait procédé à la modification. La redirection vers une nouvelle adresse n’était donc pas une preuve suffisante du retour de REvil, puisque l'on soupçonnait alors que des personnes autres que les membres de l’opération avaient accès à ces sites. Les chercheurs attendaient d’obtenir un échantillon d’un ransomware pour confirmer ou nier le retour des hackers, ce qui est désormais le cas.
Un échantillon de ransomware confirme le retour de REvil
Le 29 avril, Jakub Kroustek, directeur de la recherche sur les malwares chez Avast, a annoncé avoir obtenu un échantillon d’un ransomware qui semble être un variant du ransomware auparavant utilisé par REvil. Cette découverte confirme que les hackers sont bel et bien de retour, puisque tout indique que les créateurs de cette nouvelle version possèdent le code source du ransomware du groupe.
Or, les associés de REvil n’ont pas accès au code source des ransomwares utilisés dans les opérations, ce qui laisse sous-entendre qu’au moins un membre du groupe serait impliqué. D’après FellowSecurity, interrogé par BleepingComputer, ce serait l’un des développeurs principaux de REvil qui serait à l’origine de la nouvelle opération.
Ce nouveau variant présente plusieurs particularités. Le code a été modifié pour permettre des attaques plus ciblées, avec la possibilité de préciser des identifiants des victimes. Mais également, pour le moment, le ransomware ne fonctionne pas et se contente d’ajouter une extension aléatoire aux noms des fichiers, sans réellement les chiffrer.
D’autres indices lient ce ransomware à REvil : la note de rançon est similaire à celle utilisée auparavant, et, une fois qu’une victime se connecte sur le nouveau site, la page présentée est quasiment identique à celle de l’ancien site. Sur celle-ci, les hackers se présentent d’ailleurs comme étant « Sodinokibi », l’un des noms de REvil.
Malgré tous ces indices, comme noté par BleepingComputer, il est peu courant qu’un groupe de pirates informatiques soit aussi public à propos de son retour. Néanmoins, il est possible que les membres de REvil profitent du déclin des relations entre la Russie et les États-Unis à la suite de la guerre en Ukraine pour relancer leurs opérations.
Source : BleepingComputer