Ransomware : le retour du grand méchant REvil ?

Le groupe REvil est-il au moins en partie de retour sur la scène du ransomware ? La question a largement agité la communauté du renseignement sur les menaces en cet après-midi du 20 avril.

Soufiane Tahiri, ingénieur en sécurité de l’information chez Cdiscount, s’interrogeait depuis plusieurs jours sur un nouveau venu ayant revendiqué la cyberattaque conduite contre le pétrolier indien Oil India, notamment. L’analyste suspectait un « usurpateur » s’amusant à copier REvil. Il n’était pas seul à nourrir de nombreuses questions. La MalwareHunterTeam s’interrogeait également, depuis une semaine, sur cet assaillant « utilisant le ransomware de REvil ».

Le site vitrine du cyber-délinquant – ou du cyber-gang – n’affiche pas de nom, contrairement aux autres. Il propose un flux RSS, mais l’intitulé fourni par ce dernier – « Corp Leaks » – suggère plutôt le disparu Nefilim. Quasi vide début avril, le site vitrine a été depuis rempli de revendications dont certains semblent n’être que des copier/coller de l’ancienne vitrine de REvil, souligne la MalwareHunterTeam.

Mais une surprise de taille est survenue : l’adresse Tor de l’ancienne vitrine de REvil a ponctuellement redirigéses visiteurs vers la vitrine du nouveau venu. La MalwareHunterTeam relève au passage que cela vaut également pour le domaine Tor précédemment utilisé par REvil pour les négociations. A l’heure où sont écrites ces lignes, la redirection est bien active.

La mise en place d’une telle redirection suggère l’intervention d’une personne ayant au moins disposé d’un accès partiel à l’infrastructure de REvil.