Ransomware : l’infrastructure de REvil apparaît avoir été éteinte

Plus moyen d’accéder à la vitrine de REvil via Tor, depuis cet après-midi du 13 juillet : le site n’est plus même annoncé. C’est là que les opérateurs de la plateforme de ransomware en mode service Sodinokibi affichaient les victimes refusant de céder à leur chantage. Le site utilisé pour les négociations et, éventuellement, le paiement de la rançon n’est pas plus accessible à l’heure où sont écrites ces lignes.

Et cela vaut via Tor, comme directement en clair sur Internet. Les deux serveurs chargés de la gestion de la zone DNS du nom de domaine correspondant n’assurent plus aucune résolution pour lui. L’adresse IP de l’un renvoie à un hébergeur en Russie, l’autre au Moyen-Orient. De quoi encourager certains soupçons de disparition délibérée. Il faut dire que le contexte s’y prêterait.

Récemment, l’un des affidés du groupe s’est lancé dans une opération de grande ampleur : en exploitant une vulnérabilité affectant le service d’administration déportée VSA de Kaseya, il s’en est pris aux clients finaux – entre 800 et 1 500 selon les estimations – de nombreux prestataires de services managés, dont le Français Keyrus. L’assaillant assurait avoir compromis plus d’un million de machines à travers le monde et proposait un paiement global de 70 millions de dollars pour fournir de quoi déchiffrer les données de tous les hôtes affectés.

Cette opération a fait suite à plusieurs autres ayant fortement marqué l’opinion publique outre-Atlantique dont, notamment, celle de l’opérateur d’oléoduc Colonial Pipeline, et celle du géant agroalimentaire JBS. À tel point que le président américain Joe Biden s’est exprimé à plusieurs reprises sur le sujet, jusqu’à l’évoquer avec son homologue russe, Vladimir Poutine. Une réunion bilatérale est prévue pour le 16 juillet.

Le groupe REvil, aux commandes du ransomware Sodinokibi, et ses affidés se sont récemment montrés plus agressifs que jamais. Nous leur avons trouvé 41 victimes pour le mois de juin, un record. C’est environ un tiers de plus qu’en avril. Mais le taux de conversion de ces cyberattaques en paiement est apparu particulièrement faible depuis le printemps.

La numérotation des pages du site vitrine de REvil, combinée avec la date de révélation de certaines victimes récalcitrantes, suggère environ 160 attaques entre le 1^er avril et la mi-juin… assortis tout au mieux de dix paiements.

Avant la disparition de l’infrastructure de REvil, plusieurs victimes n’avaient pas même entamé de négociation avec leurs bourreaux, dont deux auxquelles étaient demandés 10 M$ chacune.

REvil fait le coup de la disparition délibérée, ce ne sera pas une première. Le groupe est soupçonné d’avoir auparavant été aux commandes du ransomware Gandcrab. Les auteurs de ce dernier avaient annoncé leur disparition au printemps 2019, manifestement pour mieux revenir quelques mois plus tard.

Si elle était confirmée, la disparition volontaire de REvil/Sodinokibi ne serait pas première cette année. Les opérateurs d’Avaddon ont fait ce choix il y a un mois, et donc un mois après ceux de DarkSide.