Le groupe REvil semble bien de retour

[Mise à jour le 14 septembre @ 14h20] Le retour de REvil apparaît confirmé. La vitrine du groupe, où sont exposées les victimes du rançongiciel Sodinokibi ayant refusé de payer, a été alimentée d’une nouvelle le 11 septembre – supprimée dans le courant du 13 septembre. Peu avant cela, un échantillon du ransomware, apparemment compilé le 4 septembre, avait émergé sur VirusTotal. 

Le 8 septembre, un acteur utilisant le pseudonyme REvil est apparu sur un forum fréquenté par les cybercriminels. Le lendemain, dans son premier message, consulté par Anastasia Sentsova, d’AdvIntel, celui-ci a expliqué que les serveurs avaient été mis hors ligne par crainte que la disparition de l’acteur UNKN soit le fruit d’une arrestation. Faute d’avoir réussi à le retrouver, le reste de l’équipe dit avoir attendu quelque peu avant de restaurer les serveurs et de relancer leurs activités. 

Selon REvil, les serveurs remontés à partir des sauvegardes auraient rapidement été compromis. Et de suggérer qu’un paiement serait survenu pour la production d’un outil de déchiffrement visant à aider toutes les organisations attaquées en exploitant une vulnérabilité des outils de Kaseya : la clé obtenue par l’éditeur aurait été fournie par erreur par l’un des opérateurs du groupe lors de la génération de l’outil de déchiffrement.

[Article original] La vitrine de REvil, via Tor, où sont exposées les victimes du ransomware Sodinokibi ayant refusé de payer, est de nouveau accessible, contre toute attente depuis sa disparition des écrans le 13 juillet dernier, mais sans afficher de nouvelle victime.

Le site utilisé pour les négociations et, éventuellement, le paiement de la rançon est également de nouveau fonctionnel. Les comptes à rebours, pour les négociations encore ouvertes, semblent toutefois remis à zéro. Et il y aurait bien quelqu’un pour répondre aux questions, derrière un clavier.

Des échantillons du rançongiciel, jusqu’ici jamais vus, ont été ajoutés à divers entrepôts à logiciels malveillants, mais semblent, au moins pour les exécutables Windows, liés des attaques conduites avant la mi-juillet.

Chez Emsisoft, Brett Callow estime qu’il est possible que cette infrastructure n’ait été relancée que pour « collecter des paiements auprès de victimes passées ». Et de souligner que l’éditeur n’a pas détecté de nouvelles attaques.

Mais cette remise en ligne est-elle véritablement du fait du groupe REvil… ou l’indication d’une action des forces de l’ordre contre ses infrastructures ? Comme celles du ransomware Egregor ont pu en faire les frais, début février dernier.

En juillet dernier, l’un des affidés de REvil s’est lancé dans une opération de grande ampleur : en exploitant une vulnérabilité affectant le service d’administration déportée VSA de Kaseya, il s’en est pris aux clients finaux – entre 800 et 1 500 selon les estimations – de nombreux prestataires de services managés, dont le Français Keyrus. L’assaillant assurait avoir compromis plus d’un million de machines à travers le monde et proposait un paiement global de 70 millions de dollars pour fournir de quoi déchiffrer les données de tous les hôtes affectés. Cette opération a fait suite à plusieurs autres ayant fortement marqué l’opinion publique outre-Atlantique dont, notamment, celle de l’opérateur d’oléoduc Colonial Pipeline, et celle du géant agroalimentaire JBS.

Mais fin juillet, Kaseya a obtenu une clé de déchiffrement universelle permettant à ses clients de recouvrer leurs fichiers bloqués par les assaillants. Nos collègues de ComputerWeekly (groupe TechTarget) ont alors demandé à l’éditeur si l’obtention de cette clé était, ou non, liée au paiement d’une rançon, par lui-même ou un tiers. Mais Kaseya s’est refusé à fournir des détails additionnels.

Au printemps, le groupe REvil, aux commandes du ransomware Sodinokibi, et ses affidés se sont montrés plus agressifs que jamais. Nous leur avions trouvé 41 victimes pour le mois de juin, un record. C’était environ un tiers de plus qu’en avril. Mais le taux de conversion de ces cyberattaques en paiement apparaissait particulièrement faible.

La numérotation des pages du site vitrine de REvil, combinée avec la date de révélation de certaines victimes récalcitrantes, suggérait environ 160 attaques entre le 1^er avril et la mi-juin… assortis tout au mieux de dix paiements.

Avant la disparition de l’infrastructure de REvil, plusieurs victimes n’avaient pas même entamé de négociation avec leurs bourreaux, dont deux auxquelles étaient demandés 10 M$ chacune.