Les portails Web sombres autrefois administrés par le gang de rançongiciels REvil sont revenus en ligne aujourd’hui, suscitant des inquiétudes quant au fait que le célèbre gang de rançongiciels recommencera bientôt ses attaques.
Lors des vacances du 4 juillet aux États-Unis, le groupe a mis son infrastructure Web hors service après une attaque massive de rançongiciels contre les serveurs de Kaseya. Ce sont les mêmes incidents qui ont attiré l’attention des responsables de la Maison Blanche.
Cependant, les autorités américaines et russes ont nié toute implication dans la mystérieuse disparition de ce gang de rançongiciels russophones.
À ce moment-là, il semble que le groupe ait été dissous et prévoyait d’exécuter une nouvelle attaque de ransomware contre divers enquêteurs et sociétés de sécurité américains.
Peu de temps après une augmentation de l’augmentation des attaques de ransomwares aux États-Unis, Joe Biden (président américain) a pris l’initiative et a organisé une réunion sur la cybersécurité avec divers PDG de géants de la technologie. L’objectif de cette réunion était de discuter de la manière dont les entreprises assurent la cybersécurité après les récentes vagues d’attaques de ransomwares et de failles de sécurité.
Selon les tweets sur les réseaux sociaux de divers chercheurs en sécurité, plusieurs sites Web, dont Happy Blog, directement connecté à REvil, ont refait surface.
Selon un tweet du rédacteur en chef de Bleeping Computer, la dernière entrée provient d’une victime attaquée le 8 juillet.
Selon l’expert en ransomware Allan Liska, le retour de REvil était inévitable, mais cette fois avec un nom différent et une nouvelle variante de ransomware.
Les choses sont devenues chaudes pour eux pendant un certain temps, ils ont donc dû laisser les forces de l’ordre se calmer. Le problème (pour eux) est que s’il s’agit vraiment du même groupe, utilisant la même infrastructure, ils ne se sont pas vraiment éloignés des forces de l’ordre ou des chercheurs, ce qui les remettra dans le collimateur de littéralement toutes les lois. groupe d’application de la loi dans le monde (à l’exception de la Russie). J’ajouterai également que j’ai vérifié tous les référentiels de code habituels, comme VirusTotal et Malware Bazaar, et je n’ai pas encore vu de nouveaux échantillons publiés. Donc, s’ils ont lancé de nouvelles attaques de rançongiciels, il n’y en a pas eu beaucoup.
En tant qu’analyste des menaces d’Emisoft, Brett Callow a déclaré que REvil avait attaqué au moins 360 organisations basées aux États-Unis cette année.
Plusieurs victimes de REvil se sont retrouvées dans une situation difficile, même après la fermeture du groupe en juillet. Par exemple, Mike Hamilton, ancien CISO de Seattle et maintenant CISO de la société de remédiation des ransomwares Critical Insight, a déclaré qu’une entreprise avait payé une rançon après l’attaque de Kaseya et avait reçu les clés de déchiffrement de REvil, mais avait constaté qu’elles ne fonctionnaient pas.
Certains de nos clients s’en sont tirés très facilement. Si vous avez installé cet agent sur des ordinateurs sans importance, vous les reconstruisez simplement et reprenez vie. Mais nous avons reçu un appel de détresse il y a quelques jours d’une entreprise qui a été durement touchée parce qu’elle avait une entreprise qui gérait une grande partie de ses serveurs avec le Kaseya VSA. Beaucoup de leurs serveurs ont été touchés et avaient beaucoup d’informations sur eux, alors ils ont fait appel à leur compagnie d’assurance et ont décidé de payer la rançon".
Selon un rapport publié par la société de sécurité BlackFog, sur toutes les attaques de ransomwares en août, REvil représentait plus de 23 % des attaques qu’ils ont suivies le mois dernier. C’était plus que tout autre groupe suivi dans le rapport.