Ransomware : REvil s’est-il engagé dans la spirale du déclin ?

Le ransomware Sodinokibi, opéré par le groupe REvil s’est attiré les feux des projecteurs avec une attaque contre le géant de l’agroalimentaire JBS. Mais pourrait-il être le prochain à disparaître ? Ses affidés semblent peiner à se faire payer. L’un d’entre eux, qui apparaît utiliser depuis un à deux mois les services de REvil pour essayer de monétiser ses attaques, n’apparaît pas remporter beaucoup plus de succès.

Fin avril déjà, il apparaissait évident que Revil et ses affidés enchaînaient les victimes ne payant pas. Au plus fort de 2020, le groupe affichait une vingtaine de nouvelles victimes lui résistant, par mois, pour un total connu de 179 au 31 décembre. Au 27 avril, la numérotation des pages du site caché de Revil laissait à penser qu’il fallait compter avec au moins 328 victimes… dont 81 sont connues depuis le 1^er janvier 2021. Moins de 4 mois donc, et déjà près de la moitié du total de l’an dernier. Et depuis février, pas un mois à moins d’une solide vingtaine de victimes. En mars, elles étaient même 33 ! Une marque de succès ? Non.

La numérotation des pages du site vitrine de REvil permet d’affiner. Au premier avril, le numéro de page le plus élevé était 296, pour la victime Fultz Maddox Dickens. Au 3 juin, le numéro le plus élevé était 356, soit potentiellement 60 victimes en deux mois, à raison d’une page par victime. Entre la page Web numérotée 296 et celle numérotée 356, dix manquent à l’appel à ce jour. Surtout, la page 356 n’est pas consacrée à une unique victime récalcitrante, mais à cinq. Est-ce à dire que seules 6 victimes du ransomware Sodinokibi ont cédé au chantage entre le 1^er avril et le 3 juin 2021 ? Au mieux, oui.

Nous avons trouvé les échantillons de rançongiciel impliqué dans deux des attaques revendiquées à la page numéroté 356 du site Web de REvil. Pour le premier, la rançon demandée est de 1,1 M$ – montant qui doit doubler le 15 juin. Pour le second, il était initialement de 4 millions de dollars, mais est passé à 8 M$ le 3 juin. On peut raisonnablement en conclure que la première attaque remonte à la fin du mois dernier, tandis que la seconde est probablement survenue autour de la mi-mai. Et que dans aucun des deux cas la rançon n’a été payée.

Nous avons fait ressortir spécifiquement une trentaine d’échantillons impliqués dans un peu plus de 25 attaques distinctes conduites sur la période. Et le bilan n’est pas bien brillant pour les cybercriminels : seules deux victimes touchées dans ces cyberattaques ont cédé à ce jour à leurs exigences, après force discussions et rabais. Ce qui donnerait un taux de succès inférieur à 10 %. De quoi conforter les estimations basées sur l’examen de la numérotation des pages du site vitrine des cybercriminels : un maximum de 6 victimes a payé une rançon à un affidé REvil au cours des deux derniers mois.

À titre de comparaison, l’étude des flux financiers liés à des paiements de rançon nous a conduits à estimer récemment qu’au moins 25 victimes d’Avaddon ont cédé au chantage durant les trois premières semaines du mois de mai.

Interrogé par un spécialiste du renseignement russophone sur les menaces, le groupe REvil affirme toutefois bien se porter. Il reconnaît l’attaque conduite contre JBS tout en expliquant que c’était la maison-mère au Brésil qui était visée et que les États-Unis n’auraient pas dû être affectés. Du moins était-ce l’idée de départ. Mais l’entrée en scène de l’Oncle Sam a décidé REvil à abandonner ses bonnes résolutions prises à la suite de la disparition de Darkside : « toutes les restrictions ont été levées ».

Et si des jeux de chaises musicales ont pu être observés entre programmes de ransomware en mode service, REvil l’assure : la demande pour le sien reste élevée, avec actuellement 8 candidats pour une seule position ouverte.