Le changement fait partie de la vie, et rien ne reste pareil trop longtemps, même avec les groupes de piratage, qui sont les plus dangereux lorsqu’ils travaillent dans un silence complet. Le célèbre REvil rançongiciel gang, lié aux tristement célèbres JBS et Kaseya, a refait surface trois mois après l’arrestation de ses membres en Russie.
Le service de renseignement intérieur russe, le FSB, avait arrêté 14 personnes du gang. Dans cette interpellation, les 14 membres du gang ont été retrouvés en possession de 426 millions de roubles, 600 000 dollars, 500 000 euros, du matériel informatique, et 20 voitures de luxe ont été traduites en justice.
REvil Ransomware Gang – Le contexte
Le groupe de menaces cybercriminelles à motivation financière Gold Southfield contrôlé par le groupe de rançongiciels connu sous le nom de REvil est apparu en 2019 et s’est propagé comme une traînée de poudre après avoir extorqué 11 millions de dollars au transformateur de viande JBS.
REvil inciterait ses affiliés à mener des cyberattaques pour eux en donnant un pourcentage des paiements de rançon à ceux qui aident aux activités d’infiltration sur les ordinateurs ciblés.
En juillet 2021, des hackers travaillant sous REvil ont exploité vulnérabilités zero-day dans le service de fournisseur de services gérés (MSP) développé par une société appelée Kaseya. Comme c’est souvent le cas, ces vulnérabilités n’avaient pas été corrigées et étaient donc ouvertes à l’exploitation. Le changement de code a été déployé à l’échelle mondiale sur plus de 30 MSP dans le monde et 1 000 réseaux d’entreprise gérés par ces MSP.
Les pirates ont loué leur logiciel de rançon à d’autres cybercriminels afin qu’une attaque similaire puisse se produire et perturber les activités des autres. Il a été rapporté que des attaques soutenues de ransomwares ont été menées et ont révélé que la plupart des groupes de piratage utilisent Ransomware-as-service en louant leurs services à d’autres utilisateurs (qui ont souvent un accès facile aux systèmes, réseaux et autres informations personnelles de la victime). Le célèbre Colonial Pipeline, la compagnie d’oléoducs, opérant aux États-Unis, a été attaqué par REvil dans le cadre d’un service Ransomware.
En octobre 2021, une opération d’application de la loi dans plusieurs pays a pris le contrôle des principales ressources liées aux ransomwares de REvil et a démantelé la campagne darknet qui était menée sur des serveurs ToR anonymes.
Mais grâce à la collaboration américano-russe, le gang REvil a été démantelé et le groupe lui-même a été piraté. Le site Web « Happy Blog » du groupe criminel, utilisé pour divulguer les données des victimes et extorquer des entreprises et fournir un moyen de féliciter les membres impliqués dans des attaques réussies, a été forcé hors ligne.
ReVil fait son grand retour
Les chercheurs en cybersécurité ont mis en avant des échantillons de rançongiciel REvil. Leurs conclusions, basées sur les résultats d’échantillons qui montraient tous des dates de création et des chaînes de compilation identiques ainsi que plusieurs autres attributs, ce qui signifie que la même personne/équipe le fait probablement – renforcent leur argument selon lequel ils ont effectivement identifié le développeur original du rançongiciel REvil et devraient logiquement, donc, conclure que le groupe cybercriminel auto-exilé connu sous le nom de REvil est de retour. Récemment, le dernier site de fuite de Ransomware a été promu via le forum russe RuTOR – un site Web qui commercialiserait prétendument des données divulguées aux clients.
Au fil des vignes, Les sites Tor de REvil sont revenus à la vie.
Fin avril de cette année, des chercheurs en sécurité ont remarqué des logiciels malveillants trouvés dans des
les attentats avaient repris leur activité après une longue période de calme. Deux chercheurs qui se penchent sur le côté obscur de la cybersécurité ont récemment découvert un blog sur le dark web qui est utilisé pour publier des attaques de ransomwares, et cela incitait les autres à participer à cette tendance dangereuse. Ils ont également appris que les attaquants avaient pris sur eux de recruter davantage de pirates fantômes.
L’échantillon de ransomware confirme le retour :
Le dernier exemple utilise des valeurs de type GUID plus longues, telles que
3c852cc8-b7f1-436e-ba3b-c53b7fc6c0e4 pour les options SUB et PID pour suivre les identités de campagne et d’affiliation, respectivement.
REvil est-il de retour ? – Comment pouvez-vous riposter ?
REvil est connu pour être un rançongiciel particulièrement destructeur, et son retour signifie que les entreprises et les particuliers doivent être en état d’alerte pour d’éventuelles attaques. Il est trop tôt pour dire si le retour du gang des rançongiciels REvil sera aussi efficace que son prédécesseur.
Mais le fait qu’il ait fait surface peu de temps après l’opération de retrait indique que cela pourrait être leur intention, et les meilleures pratiques de protection contre les ransomwares et de sécurité Web sont suggérées comme étant une régularité.
Lorsqu’il s’agit de protéger votre site Web contre les pirates et les criminels, vous pouvez utiliser plusieurs méthodologies, dont certaines incluent :
- À l’aide d’un scanner d’application Web automatisé, tests de pénétration manuels.
- Configuration de programmes anti-malware et antivirus pour des analyses de sécurité régulières, etc.
- Mettez en place des programmes de formation à la sécurité – vos utilisateurs finaux et vos employés doivent connaître la menace du ransomware et savoir comment il est lancé.
- L’activation du principe du « moindre privilège » pour les utilisateurs de l’application vous aidera à vous assurer que personne ne peut accéder à une partie de votre application à laquelle un autre utilisateur n’a pas également accès, ce qui leur permettra d’éviter toute faille de sécurité.
- Soutenez votre service de sécurité de l’information en introduisant des initiatives de sensibilisation aux cybermenaces qui enseignent aux utilisateurs finaux et aux employés comment reconnaître le mode opératoire des cybercriminels.
- Assurez-vous que votre entreprise est protégée contre le téléchargement de fichiers exécutables joints aux e-mails entrants ou sortants afin que l’application de votre site Web ne soit pas vulnérable aux pirates.
- Pour empêcher les cyber-attaquants de s’introduire dans vos applications Web, il est suggéré de configurer un Web Application Firewall (WAF) pour bloquer l’accès aux adresses IP malveillantes.
- De plus, l’installation de certificats SSL appropriés pour la protection contre les attaques Man-In-The-Middle ou l’utilisation de plugins de connexion qui vérifient le jeton de sécurité du client peut réduire le risque de succomber à des violations de données.
- Apportez le soutien de fournisseurs de services de cybersécurité gérés de confiance comme Industrie pour garder une longueur d’avance sur les menaces émergentes et aider à résoudre les problèmes de sécurité en temps réel. Assurez-vous qu’ils disposent des certifications appropriées, qu’ils se tiennent au courant des dernières actualités en matière de cybersécurité et qu’ils sont toujours disponibles si vous avez besoin d’une assistance sur le terrain.
Conclusion
Ce ne sera pas une surprise si le groupe de rançongiciels REvil reprend les attaques car le ou les créateurs originaux de l’incarnation précédente existent toujours. Même ceux qui sont pris sont susceptibles de réessayer à l’avenir, ce qui est particulièrement effrayant si vous pensez à quel point ces escrocs en ligne sont préparés.
Le vol des identités numériques, des serveurs et des fichiers de données de vos clients à cause d’un logiciel de rançon peut signifier une perte de temps et d’argent, car ces attaques ne font qu’empirer avec le temps.
De plus, l’importance de protéger votre réputation ou d’éviter qu’elle ne soit endommagée peut sans doute être au-delà de toute mesure. Par conséquent, les entreprises doivent s’assurer que leur marque, leur propriété intellectuelle et leurs informations personnelles ou sensibles sont protégées contre les cybercriminels qui utilisent quotidiennement des attaques de ransomwares.