...
🧠 Le blog est dédié au sujet du VPN et de la sécurité, de la confidentialité des données sur Internet. Nous parlons des tendances actuelles et des nouvelles liées à la protection.

REvil – Un gang de rançongiciels russophones disparaît

6

Le célèbre gang de rançongiciels russophones, REvil, a mystérieusement disparu d'Internet après avoir exécuté des attaques très médiatisées contre des centaines d'entreprises dans le monde.

On ne sait toujours pas pourquoi le groupe s'est déconnecté, ainsi que son blog et ses sites de paiement. Mais sa disparition soudaine quelques jours seulement après la déclaration du président Biden soulève des questions quant à savoir si les autorités américaines y étaient pour quelque chose.

Qui est REvil ?

REvil (Ransomware Evil ou autrement connu sous le nom de Sobinokibi) est un gang russophone. Ils ont ciblé des milliers d'entreprises de premier plan dans le monde entier. Ils menaceraient de divulguer les informations sur leur Happy Blog à moins que les cibles ne paient la rançon.

Personne n'a été en mesure de localiser leur emplacement, mais on pense qu'il est basé en Russie car le gang ne cible pas les entreprises russes ou les régions de l'ancien bloc soviétique.

Dans le passé, les autorités britanniques et américaines ont également accusé réseaux privés virtuels (VPN)pour cibler des organisations du monde entier et cacher leurs empreintes numériques. Cependant, l'ambassade de Russie aux États-Unis a nié les accusations.

Cibles REvil

En mai 2020, REvil a volé près d'un téraoctet d'informations confidentielles au cabinet d'avocats Grubman Shire Meiselas & Sacks, affirmant avoir du "linge sale" sur le président Trump. Le gang a menacé de publier des données en ligne si le rançongiciel de 42 millions de dollars n'était pas payé. Le gang a déclaré:

« La prochaine personne que nous publierons est Donald Trump. Il y a une course électorale en cours, et nous avons trouvé une tonne de linge sale à temps. M. Trump, si vous voulez rester président, poussez un bâton pointu sur les gars, sinon, vous risquez d'oublier cette ambition pour toujours.

En mars 2021, REvil a attaqué la Fédération Harris en conséquence, le système informatique de l'organisation a été arrêté pendant des semaines, affectant des milliers d'utilisateurs.

En avril 2021, REvil a ciblé Apple et a volé des plans pour les prochains produits Apple, y compris l'Apple Watch, les ordinateurs portables, etc. Le gang a exigé 50 millions de dollars pour des informations. Après l'attaque, ils ont posté sur leur Happy Blog en disant :

"Afin de ne pas attendre la prochaine présentation d'Apple, nous, le groupe REvil, fournirons aujourd'hui des données sur les prochaines versions de la société tant appréciée de beaucoup. Tim Cook peut dire merci Quanta.

En mai 2021, JBS SA, une entreprise de transformation de viande basée au Brésil, a été attaquée, désactivant ses abattoirs. Juste après quelques jours de l'attaque, la Maison Blanche a annoncé que le REvil pourrait être derrière l'attaque. JBS a payé une rançon de 11 millions de dollars à REvil en Bitcoin.

La dernière cible de REvil était Kaseya, un fournisseur de technologie américain. Le 2 juillet 2021, REvil a ciblé les systèmes Kaseya et a exigé 70 millions de dollars de rançon pour restaurer leurs données. À la suite de l'attaque, Swedish Coop, une chaîne d'épiceries, a dû fermer près de 800 magasins pendant plusieurs jours.

Il s'agit de l'une des plus importantes attaques de rançongiciels de l'histoire. L'attaque a touché des milliers de petites entreprises dans le monde entier. Après la Cybersecurity and Infrastructure Security Agency des États-Unis, tous les utilisateurs ont été invités à fermer immédiatement les serveurs VSA.

L'attaque était parfaitement chronométrée, vendredi, avant les longues vacances aux États-Unis, pour la propager le plus rapidement possible sans se faire détecter.

Biden prend des mesures contre REvil

Après l'attaque, le président Joe Biden a décidé d'agir et a ordonné aux agences de renseignement américaines d'enquêter sur le groupe à l'origine de l'attaque qui a touché des centaines d'entreprises américaines.

Le 10 juillet, Biden a appelé le président Vladimir Poutine et a déclaré qu'il devait "agir". Biden a ajouté :

"Je lui ai dit très clairement que les États-Unis s'attendent à ce que lorsqu'une opération de ransomware vient de son sol, même si elle n'est pas parrainée par l'État, nous nous attendons à ce qu'ils agissent si nous leur donnons suffisamment d'informations pour agir sur qui c'est."

Lorsqu'on lui a demandé s'il y aurait des conséquences, Biden a souri et a dit: "Oui." Il a également déclaré que les États-Unis prendraient des mesures et feraient tomber les serveurs du groupe REvil si Moscou n'agissait pas.

Disparition du gang REvil

Les sites Web, les blogs et "toute leur infrastructure" de REvil sont devenus sombres, a déclaré Allen Liska, un analyste du renseignement de Recorded Future. Liska a également déclaré que le porte-parole public de REvil, également appelé "Inconnu", " n'a pas été actif sur les babillards électroniques depuis jeudi dernier", et que le site ne répond plus depuis un certain temps maintenant.

On ne sait toujours pas pourquoi le groupe a soudainement disparu d'Internet ou si la disparition n'est que temporaire ou permanente.

Les changements récents ont suscité des spéculations quant à savoir si cette décision était la propre décision de REvil de cesser ses opérations comme l'ancien gang russe de cybercriminalité, DarkSide, ou était-ce le résultat d'une action menée par le gouvernement américain.

John Hultquist, de Mandiant Threat Intelligence, a déclaré :

"La situation est toujours en cours, mais les preuves suggèrent que REvil a subi un démantèlement planifié et simultané de son infrastructure, soit par les opérateurs eux-mêmes, soit par le biais d'une action de l'industrie ou des forces de l'ordre… S'il s'agissait d'une opération de perturbation quelconque, tous les détails pourraient ne jamais venir éclairer."

C'est évidemment une bonne chose, mais pas pour toutes les entreprises cibles comme le souligne Brett Callow d'Emsisoft :

« Si les forces de l'ordre ont réussi à perturber les opérations du gang, ce serait évidemment une bonne chose, mais cela pourrait créer des problèmes pour toute entreprise dont les données sont actuellement cryptées. Ils n'auraient pas la possibilité de payer REvil pour la clé nécessaire pour déchiffrer leurs données.

Liska a également noté que la propriété du site de REvil n'a pas encore été modifiée, ce qui rend moins probable la possibilité d'une saisie de domaine. Il a également déclaré: " Cela pourrait suggérer qu'il s'agit de démontages autogérés (trop tôt pour le dire)."

Jusqu'à présent, les porte-parole du Conseil de sécurité nationale de la Maison Blanche et du Cyber ​​​​Command n'ont pas encore commenté la dernière disparition de REvil. Même si le gouvernement américain était à l'origine de la disparition de REvil, d'autres groupes de rançongiciels sont toujours actifs, ce qui soulève des problèmes de sécurité dans le monde entier.

Ce site utilise des cookies pour améliorer votre expérience. Nous supposerons que cela vous convient, mais vous pouvez vous désinscrire si vous le souhaitez. J'accepte Plus de détails