terovesalainen - stock.adobe.com

Ransomware : Revil enchaîne les victimes… qui ne paient pas

Le groupe REvil, aux commandes du ransomware Sodinokibi, est un habitué des coups d’éclat, avec récemment Acer ou Quanta, et indirectement avec lui, Apple. Mais son tableau de chasse cache mal des échecs toujours plus nombreux.

Oui, le groupe Revil, qui pilote le rançongiciel Sodinokibi, est très actif ces temps-ci. Et il semble décidé à enchaîner les coups d’éclat. Mais ses activités semblent de moins en moins couronnées de succès. Et de plus en plus, ce qu’il exhibe comme un tableau de chasse prend des airs de triste galerie de ses échecs.

Au plus fort de 2020, Revil affichait une vingtaine de nouvelles victimes lui résistant, par mois, pour un total connu de 179 au 31 décembre. À ce jour, la numérotation des pages du site caché de Revil laisse à penser qu’il faut compter avec au moins 328 victimes… dont 81 sont connues depuis le 1er janvier 2021. Moins de 4 mois donc, et déjà près de la moitié du total de l’an dernier. Et depuis février, pas un mois à moins d’une solide vingtaine de victimes. Mais ça, c’est pour la partie la plus visible des activités de Revil.

La numérotation des pages du site caché de Revil permet d’affiner. Au premier avril, le numéro de page le plus élevé était 296, pour la victime Fultz Maddox Dickens. Au 26 avril, le numéro le plus élevé était 325, avec Habia Cable. Soit potentiellement 29 victimes additionnelles en 26 jours. Bien sûr, il convient d’envisager que des victimes au-delà du numéro 296 avaient déjà été attaquées au 1er avril. Mais au 26 avril, Revil avait déjà levé le voile sur 25 victimes récalcitrantes. C’est là que l’on commence à mesurer le niveau de résistance croissant que semblent rencontrer Revil et ses affiliés.

Une série de cyberattaques pour rien ?

Car entre 296 et 325, il ne manque, ce 27 avril, que les pages numérotées 302, 312, et 315 : la page 320 est celle de Quanta ; la 321 vient d’être publiée et c’est celle du Britannique Treehouse Hotels. Trois victimes sur 39 sont donc susceptibles d’avoir payé – à moins que Revil ne leur laisse du temps additionnel pour négocier. Car au-delà de ces chiffres, les affaires de Revil ne semblent pas aller très fort, en ce moment. Et c’est plutôt encourageant.

Schéma des Cyberattaques connues du groupe REvil, sur 12 mois.
Cyberattaques connues du groupe REvil, sur 12 mois.

Nous avons observé plusieurs négociations relatives à des victimes récentes dont les noms n’ont pas encore été rendus publics par les assaillants. Pour l’une d’entre elles, les cyberdélinquants indiquent n’avoir pas dérobé de données lors de l’attaque. Gageons qu’ils ne retireront pas grand-chose de l’opération. Leurs prétentions n’étaient toutefois pas bien élevées. Pour une seconde, la victime a proposé 9 000 $ de paiement, pour sauver l’unique machine qui n’avait pu l’être par les sauvegardes. Une miette refusée par les attaquants. Et c’est sans compter une organisation texane à qui il est demandé 15 000 $ et qui ne semble pas vraiment intéressée par une négociation.

Surtout, il y a Quanta ! Selon nos confrères de Bleeping Computer, Revil ne cherche plus à jouer les gros bras, mais plutôt à amadouer sa victime. La page sur laquelle il affichait des schémas techniques de produits Apple n’est plus en ligne. Un nouvel espace de dialogue a été créé avec des prétentions ramenées à 20 millions de dollars, au lieu de cinquante initialement. Autrement dit, le groupe REvil semble avoir compris qu’il n’était peut-être pas autant en position de force que ce qu’il imaginait initialement.

Une agressivité toujours marquée

Récemment, Revil a multiplié les coups d’éclat, avec Acer, Pierre Fabre, Tata Steel, les vins Gallo, Trigano, ou encore Asteelflash. Mais le groupe semble peiner à monétiser effectivement ces attaques qui ressortent, en définitive, comme autant d’échecs. Un bémol, toutefois : l’agressivité de Revil a des chances d’être payante, ne serait-ce que grâce au nombre de cyberattaques. Et en ce 27 avril, le groupe vient d’afficher une nouvelle victime, Kajima Corporation, dont la page est numérotée 329. Se cachent donc probablement 7 victimes supplémentaires, à imputer sur le mois d’avril, entre Treehouse Hotels et Kajima, et que les attaquants essaient probablement encore d’extorquer.

Pour approfondir sur Menaces, Ransomwares, DDoS

Close