Les opérateurs derrière le ransomware-as-a-service (RaaS) REvil mise en scène un retour surprise après une interruption de deux mois à la suite de l’attaque largement médiatisée contre le fournisseur de services technologiques Kaseya le 4 juillet.

Deux des portails Web sombres, dont le site de fuite de données Happy Blog du gang et son site de paiement/négociation, ont refait surface en ligne, la victime la plus récente ayant été ajoutée le 8 juillet, cinq jours avant que les sites ne disparaissent mystérieusement du réseau le 13 juillet. On ne sait pas immédiatement si REvil est de retour dans le jeu ou s’il a lancé de nouvelles attaques.

« Malheureusement, le Happy Blog est de retour en ligne », Brett Callow, chercheur en menaces chez Emsisoft. tweeté mardi.

Le développement intervient un peu plus de deux mois après une attaque de ransomware à grande échelle contre Kaseya, qui a vu le gang de cybercriminalité basé en Russie chiffrer environ 60 fournisseurs de services gérés (MSP) et plus de 1 500 entreprises en aval en utilisant une vulnérabilité zero-day dans le logiciel de gestion à distance Kaseya VSA.

Fin mai, REvil a également été le fer de lance de l’attaque contre le plus grand producteur de viande au monde, JBS, forçant l’entreprise à débourser 11 millions de dollars de rançon aux extorqueurs pour se remettre de l’incident.

À la suite des attaques et d’une surveillance internationale accrue à la suite de la crise mondiale des ransomwares, le groupe a supprimé son infrastructure Web sombre, ce qui a conduit à des spéculations selon lesquelles il pourrait avoir temporairement cessé ses activités dans le but de changer de marque sous une nouvelle identité afin d’attirer moins d’attention. .

REvil, également connu sous le nom de Sodinokibi, est devenu la cinquième souche de ransomware la plus fréquemment signalée au premier trimestre 2021, représentant 4,60% de toutes les soumissions au cours du trimestre, selon les statistiques compilé par Emsisoft.