Le gang de ransomware REvil dirigé par la Russie a été abattu par une opération d’application de la loi multi-pays active qui a entraîné le piratage et la mise hors ligne de son infrastructure plus tôt cette semaine, dans le cadre de la dernière mesure prise par les gouvernements pour perturber l’écosystème lucratif.

Le retrait a été signalé pour la première fois par Reuters, citant plusieurs cyber-experts du secteur privé travaillant avec le gouvernement américain, notant que la cyberattaque de mai contre Colonial Pipeline reposait sur un logiciel de cryptage développé par les associés de REvil, corroborant officiellement les Connexions à la tenue criminelle prolifique.

Coïncidant avec le développement, la société d’analyse blockchain Elliptic divulgué que 7 millions de dollars en bitcoins détenus par le groupe de ransomware DarkSide ont été transférés via une série de nouveaux portefeuilles, une petite fraction du montant étant transférée à chaque transfert pour rendre l’argent blanchi plus difficile à suivre et à convertir les fonds en monnaie fiduciaire via des échanges .

Dimanche, il est apparu que le portail de paiement Tor de REvil et le site Web de fuite de données avaient été détournés par des acteurs non identifiés, un membre affilié à l’opération déclarant que « le serveur était compromis et qu’ils me cherchaient », ce qui a conduit à spéculations d’une implication coordonnée des forces de l’ordre.

L’économie de plus en plus prospère et rentable des ransomwares est généralement caractérisée par un enchevêtrement complexe de partenariats, avec des syndicats de ransomware-as-a-service (RaaS) tels que REvil et DarkSide louant leurs logiciels malveillants de cryptage de fichiers à des affiliés recrutés via des forums en ligne et des canaux Telegram. , qui lancent les attaques contre les réseaux d’entreprise en échange d’une part importante de la rançon payée.

Ce modèle de service permet aux opérateurs de ransomware d’améliorer le produit, tandis que les affiliés peuvent se concentrer sur la propagation du ransomware et d’infecter autant de victimes que possible pour créer une chaîne de montage de paiements de rançon qui peuvent ensuite être répartis entre le développeur et eux-mêmes. Il convient de noter que ces sociétés affiliées peuvent également se tourner vers d’autres entreprises cybercriminelles qui offrent un accès initial via des portes dérobées persistantes pour orchestrer les intrusions.

« Les affiliés achètent généralement l’accès d’entreprise à [Initial Access Brokers] pour pas cher, puis infecter ces réseaux avec un produit ransomware précédemment obtenu par les opérateurs », Digital Shadows mentionné dans un rapport publié en mai 2021. « La montée en puissance de ces acteurs de la menace, en plus de l’importance croissante des modèles RaaS dans le paysage des menaces, indique une professionnalisation croissante de la cybercriminalité. »

REvil (alias Sodinokibi) a fermé pour la première fois à la mi-juillet 2021 à la suite d’une série d’attaques très médiatisées visant JBS et Kaseya plus tôt cette année, mais l’équipage a organisé un retour officiel début septembre sous le même nom de marque, même comme le Federal Bureau of Investigation (FBI) des États-Unis a prévu furtivement de démanteler les activités malveillantes de l’acteur menaçant à son insu, comme l’a rapporté le Washington Post le mois dernier.

« Le gang de ransomware REvil a restauré l’infrastructure à partir des sauvegardes en supposant qu’elles n’avaient pas été compromises », a déclaré Oleg Skulkin de Group-IB à Reuters. « Ironiquement, la tactique préférée du gang consistant à compromettre les sauvegardes s’est retournée contre eux. »