Ransomware : Le groupe REvil refait surface après une brève pause

Sécurité : Le « Happy Blog » géré par le groupe de pirates REvil, spécialisé dans les rançongiciels, était de retour en ligne ce mardi après un black-out et une brève accalmie.

Le groupe spécialisé dans les ransomwares REvil a refait surface après avoir momentanément fermé boutique à la suite de l’attaque généralisée de Kaseya, qui a fait des milliers de « victimes » le 4 juillet dernier. Des chercheurs en sécurité avaient auparavant découvert que tous les sites du dark web du groupe prolifique de ransomware – notamment le site de paiement, le site public du groupe, le chat du « helpdesk » et leur portail de négociation – avaient été mis hors ligne le 13 juillet, après que l’attaque de Kaseya a suscité une condamnation mondiale et des menaces sévères de la part des législateurs américains.

Le président américain Joe Biden s’était entretenu personnellement avec le président russe Vladimir Poutine après l’attaque. Beaucoup d’experts ont attribué la fermeture de REvil à cette conversation, au cours de laquelle le président américain a insisté auprès de son homologue russe sur les attaques de ransomware provenant de Russie. Malgré cette conversation, les autorités américaines et les responsables russes ont nié toute implication dans la disparition de REvil en juillet.

Reste que des dizaines de chercheurs en sécurité viennent de signaler que la plateforme du groupe, surnommée le Happy Blog, avait refait surface. Le site Bleeping Computer rapporte ainsi que la toute dernière entrée du site provenait d’une victime qui a été attaquée le 8 juillet. Les chercheurs en sécurité de Recorded Future et d’Emsisoft ont tous deux confirmé qu’une grande partie de l’infrastructure du groupe était de nouveau en ligne.

« Une situation tendue »

« La situation était tendue pour eux pendant un certain temps, ils avaient besoin de laisser les forces de l’ordre se calmer. Le problème (pour eux) est que, s’il s’agit vraiment du même groupe, utilisant la même infrastructure, ils n’ont pas vraiment pris de distance avec les forces de l’ordre ou les chercheurs, ce qui va les remettre dans la ligne de mire des autorités – à l’exception des autorités russes », explique Allan Liska, expert en ransomware, interrogé par ZDNet.

« J’ai vérifié tous les dépôts de code habituels, comme VirusTotal et Malware Bazaar, et je n’ai pas encore repéré de nouveaux échantillons publiés. Donc, s’ils ont lancé de nouvelles attaques de ransomware, il n’y en a pas eu beaucoup », relève ce dernier. Pour rappel, un rapport de la société de sécurité BlackFog sur les attaques de ransomware en août révélait que REvil représentait plus de 23 % des attaques suivies le mois dernier. C’est plus que tout autre groupe étudié dans le rapport.

Selon Brett Callow, analyste des menaces chez Emsisoft, REvil a attaqué au moins 360 organisations basées aux Etats-Unis cette année. Le site de recherche RansomWhere indique que le groupe a rapporté plus de 11 millions de dollars cette année, avec des attaques très médiatisées contre Acer, JBS, Quanta Computer, etc.

Piratage clé en main

La fermeture de REvil en juillet a laissé certaines victimes dans une situation difficile. Mike Hamilton, ancien directeur des systèmes d’information (CISO) de Seattle et actuel directeur des systèmes d’information (CISO) de la société de remédiation aux ransomwares Critical Insight, note qu’une entreprise a payé une rançon après l’attaque Kaseya et a reçu les clés de décryptage de REvil, mais a constaté qu’elles ne fonctionnaient pas.

REvil propose généralement un service d’assistance qui aide les victimes à récupérer leurs données. « Certains de nos clients s’en sont sortis très facilement. Si cet agent était installé sur des ordinateurs sans importance, il suffisait de les reconstruire et de reprendre le dessus. Mais il y a quelques jours, nous avons reçu un appel de détresse d’une entreprise qui a été durement touchée parce qu’elle avait une société qui gérait un grand nombre de ses serveurs avec l’ASV de Kaseya. Ils ont fait appel à leur compagnie d’assurance et ont décidé de payer la rançon », explique Mike Hamilton.

« Ils ont obtenu leur clé de déchiffrement et lorsqu’ils ont commencé à l’utiliser, ils ont constaté qu’elle fonctionnait à certains endroits et pas à d’autres. Ces gangs de ransomwares ont un support client, mais tout d’un coup, ils ont disparu. Ils ont complètement disparu et donc il n’y a pas d’aide et ces gens sont juste coincés. Ils vont finir par perdre beaucoup de données et ils vont finir par dépenser beaucoup d’argent pour reconstruire complètement leur réseau à partir de zéro. »

Source : ZDNet.com

Catégories