REvil : un retour au moins partiel du gang se confirme

De nouveaux échantillons de rançongiciel ont apporté des indications supplémentaires de la réapparition du groupe REvil, ou du moins de certains de ses membres.

Des chercheurs de l’unité de lutte contre les menaces de Secureworks viennent ainsi d’attribuer des échantillons de rançongiciel récemment découverts à Gold Southfield, un groupe connu comme ayant participé aux activités de la franchise mafieuse REvil, notamment.

Dans un billet de blog publié ce lundi 9 mai, les chercheurs ont relevé un maliciel utilisant en grande partie le même code source que les précédents échantillons de celui utilisé par REvil, Sodinokibi. Sans compter une grande partie de l’infrastructure utilisée antérieurement pour héberger et divulguer ses victimes.

Ils mettent en particulier en avant un échantillon découvert le 22 mars qui semble lié à une victime revendiquée en avril. Celui-ci présente des changements par rapport à des échantillons identifiés à l’automne dernier. Mais apparemment pas suffisamment pour s’en distinguer significativement.

Fin avril, l’adresse Tor de l’ancienne vitrine de REvil a commencé à rediriger ses visiteurs vers un nouveau site vitrine, celui d’une franchise rappelant justement le groupe disparu. La MalwareHunterTeam relevait au passage que cela valait également pour le domaine Tor précédemment utilisé par REvil pour les négociations.La mise en place de telles redirections suggèrait l’intervention d’une personne ayant au moins disposé d’un accès partiel à l’infrastructure de Revil.

Aujourd’hui, les chercheurs de Secureworks estiment que « l’analyse de ces échantillons indique que le développeur a accès au code source de REvil, ce qui renforce la probabilité que le groupe de menaces soit réapparu ». En outre, « l’identification de plusieurs échantillons contenant différentes modifications et l’absence d’une nouvelle version officielle indiquent que REvil est en cours de développement actif ».

Le site vitrine du groupe a été alimenté par de nombreuses victimes revendiquées antérieurement par REvil avant son passage en hibernation. Les nouvelles revendications sont encore peu nombreuses. Mais la dernière date du début du mois de mai.