Ransomware : fin de partie pour REvil

Cette fois-ci, la page semble tournée pour de bon. Un acteur lié à REvil, connu sous le pseudonyme 0_neday, vient d’annoncer, durant le week-end, l’arrêt de ses activités pour une raison simple : il vient d’obtenir confirmation de ses craintes ; à savoir qu’un tiers non identifié dispose d’une copie de l’infrastructure du groupe, jusqu’aux clés privées des sites accessibles via Tor. Pire encore, comme relevé par Dmitry Smilyanets, de Recorded Future : selon le cybermalfaiteur, le serveur a été compromis de sorte à le piéger personnellement.

Pour mémoire, la présence en ligne, accessible directement ou via Tor, du groupe de cybermalfaiteurs est brutalement devenue inaccessible dans la journée du 13 juillet, avant de réapparaître début septembre. Ces allées-venues n’ont pas manqué de soulever des questions. Et en tout premier lieu, la remise en ligne était-elle véritablement du fait du groupe REvil… ou l’indication d’une action des forces de l’ordre contre ses infrastructures (comme celles du ransomware Egregor ont pu en faire les frais, début février dernier) ? Une question d’autant plus légitime depuis qu’il s’est avéré que les autorités américaines avaient mis la main sur la clé de déchiffrement associée à l’opération Kaseya : selon le Washington Post, il y a bien eu infiltration dans l’infrastructure de REvil. Et c’est elle qui a conduit à l’obtention de la clé de déchiffrement ayant permis de développer un outil de déchiffrement et d’aider les victimes de l’attaque menée plus tôt par rebond, contre un vaste nombre de clients de Kaseya.

Déjà fin septembre, les opérateurs de LockBit affichaient ouvertement leurs craintes d’une infiltration de la franchise REvil par le FBI. Sur un forum russophone, ils évoquaient le besoin de s’assurer que ceux qui prétendraient à l’avenir être des opérateurs de REvil le sont effectivement et ne représentant pas une menace pour l’écosystème cyberdélinquant.