Ransomware

Les sites liés à REvil sont soudainement redevenus actifs, deux mois après leur disparition du devant de la scène.

Le gang avait disparu suite à l'attaque sur Kaseya et aux pressions qui ont suivi de la part de la Maison Blanche et des services de renseignement américains.

Une disparition soudaine en juillet

Le 2 juillet, REvil, un groupe de pirates spécialisés dans le « ransomware-as-a-service », avait profité d'une faille zero day dans un logiciel du groupe Kaseya pour les attaquer. Le logiciel en question étant utilisé par des MSP (Managed Service Providers), le ransomware avait réussi à se propager parmi eux mais aussi chez leurs clients. Devant l'ampleur de l'attaque, REvil avait fini par renoncer à demander des rançons individuelles et avait proposé une clé de déchiffrement universelle pour 70 puis 50 millions de dollars.

Le 9 juillet, le président Biden annonçait avoir appelé Vladimir Poutine, entre autres pour parler des attaques informatiques touchant les sociétés américaines. Plusieurs groupes de pirates, dont REvil, sont soupçonnés d'être sur le sol russe. Le président américain avait profité de cet appel pour demander à nouveau que les autorités russes se chargent du problème.

Le 13 juillet, il était annoncé que l'infrastructure et les sites liés à REvil étaient désormais hors-ligne. Le groupe possédait notamment deux sites, l'un servant à publier les leaks récupérés lors de leurs attaques et l'autre servant aux victimes pour négocier et payer les rançons. Un peu plus d'une semaine après, Kaseya avait annoncé avoir reçu la clé de déchiffrement universelle de la part d'un « tiers de confiance », sans plus de précisions.

Un retour mystérieux

Personne ne sait vraiment pourquoi REvil avait alors décidé de cesser ses activités. Certains soupçonnent que cette fermeture faisait suite à une demande des autorités russes, qui pourraient avoir donné à Kaseya la clé de déchiffrement. Une rumeur qui s'était également propagée au sein des milieux hackers et qui avait valu un ban d'un des forums les plus populaires au représentant du groupe, suspecté d'être sous contrôle policier. En tout cas, rien n'avait été confirmé.

Aujourd'hui, personne ne sait non plus pourquoi les sites de REvil sont de nouveau en ligne. Il est possible que le groupe reprenne ses activités : ce ne serait pas la première fois qu'un groupe disparaît pour revenir quelques mois après, sous une nouvelle forme ou sous le même nom. Le site utilisé pour les leaks a été le premier remis en ligne, avant que le deuxième site ne suive à son tour, avec un chrono remis à zéro.

S'il avait été un temps avancé que ce retour en ligne pouvait faire suite à des actions des autorités ou être une simple erreur, l'hypothèse semble de moins en moins probable. Les premières preuves d'un retour des activités de REvil commencent en effet à faire surface, comme semble l'indiquer ce tweet de Jakub Kroustek, directeur de recherche en malware chez Avast.