Revil Ransomware

REvil, le tristement célèbre cartel de ransomware à l’origine de certaines des plus grandes cyberattaques ciblant JBS et Kaseya, a mystérieusement disparu du dark web, ce qui a conduit à des spéculations selon lesquelles l’entreprise criminelle aurait pu être supprimée.

Plusieurs sites darknet et clearnet gérés par le syndicat de la cybercriminalité lié à la Russie, y compris les portails de fuite de données, d’extorsion et de paiement, sont restés inaccessibles, affichant un message d’erreur « Onionsite not found ».

Le groupe Infrastructure réseau Tor sur le dark web se compose d’un site de blog sur les fuites de données et de 22 sites d’hébergement de données. On ne sait pas immédiatement ce qui a poussé l’infrastructure à être mise hors ligne.

REvil est l’un des groupes de ransomware-as-a-service (RaaS) les plus prolifiques qui sont apparus pour la première fois dans le paysage des menaces en avril 2019. C’est une évolution du Crabe de Gand ransomware, qui a frappé les marchés clandestins au début de 2018.

« Si REvil a été définitivement perturbé, cela marquera la fin d’un groupe qui a été responsable de plus de 360 ​​attaques contre les secteurs public et privé américains cette année seulement », a déclaré Brett Callow d’Emsisoft. tweeté.

Publicité
Équipes De Débordement De Pile

Ce développement soudain fait suite à une attaque de ransomware à grande échelle de la chaîne d’approvisionnement visant le fournisseur de services technologiques Kaseya, dont REvil (alias Sodinokibi) a pris la responsabilité et a exigé une rançon de 70 millions de dollars pour débloquer l’accès aux systèmes cryptés en échange d’un clé de déchiffrement universelle qui déverrouillerait toutes les données des victimes.

L’attaque désastreuse a vu le gang de ransomware chiffrer environ 60 fournisseurs de services gérés (MSP) et plus de 1 500 entreprises en aval à l’aide d’une vulnérabilité zero-day dans le logiciel de gestion à distance Kaseya VSA. Fin mai, REvil a également orchestré l’attaque contre le plus grand producteur de viande au monde JBS, qui a fini par payer 11 millions de dollars aux extorqueurs pour se remettre de l’incident.

Revil Ransomware Tor Network

La panne coïncide également avec celle du président américain Joe Biden appel téléphonique avec le président russe Vladimir Poutine la semaine dernière, pressant ce dernier de prendre des mesures pour perturber les groupes de ransomware opérant dans le pays, tout en mettant en garde contre des mesures de représailles pour défendre les infrastructures critiques.

« La situation est toujours en cours, mais les preuves suggèrent que REvil a subi un retrait planifié et simultané de son infrastructure, soit par les opérateurs eux-mêmes, soit via l’industrie ou des mesures d’application de la loi », a déclaré John Hultquist de FireEye Mandiant. Raconté CNBC.

Il semble que REvil’s Happy Blog ait été mis hors ligne vers 1 h HNE mardi, avec vx-underground notant que le représentant public du groupe, Unknown, n’a pas posté sur les forums de piratage populaires tels que Exploit et XSS depuis le 8 juillet.

Par la suite, un représentant du ransomware LockBit posté au Forum de piratage russophone XSS que l’infrastructure d’attaque de REvil a reçu une demande légale du gouvernement, provoquant le démantèlement des serveurs. « REvil est banni de XSS », vx-underground ajouté plus tard.

Il n’est pas rare que des groupes de ransomware se retrouvent sous terre à la suite d’incidents très médiatisés. Après que le gang DarkSide ait ciblé Colonial Pipeline en mai, les opérateurs ont annoncé leur intention de mettre fin définitivement à son programme d’affiliation RaaS, affirmant que ses serveurs avaient été saisis par un organisme d’application de la loi inconnu, soulevant des questions quant à savoir si le groupe a réellement pris sa retraite ou changé de nom. sous un nouveau nom.

Empêcher Les Attaques De Ransomware

Cette théorie a finalement été validée lorsque le ministère américain de la Justice a révélé le mois dernier qu’il était en mesure de récupérer la majeure partie de l’argent versé par Colonial Pipeline au groupe DarkSide grâce à une analyse des pistes de bitcoin.

La fermeture inexpliquée de REvil, de la même manière, peut tout aussi bien être un cas de retraite planifiée, ou un revers temporaire, l’obligeant à se dissoudre apparemment pour finalement se rassembler sous une nouvelle identité afin d’attirer moins d’attention, ou peut en avoir été la conséquence. d’une surveillance internationale accrue à la suite de la crise mondiale des ransomwares.

S’il s’avère effectivement que le groupe a définitivement fermé ses activités, cette décision ne manquera pas de laisser les cibles du groupe de côté, sans aucun moyen viable de négocier des rançons et de mettre la main sur les clés de décryptage nécessaires pour reprendre le contrôle de leurs systèmes, donc définitivement les verrouiller hors de leurs données.

« Je ne sais pas ce que cela signifie, mais peu importe, je suis heureux! » tweeté Katie Nickels, directrice du renseignement chez Red Canary. « S’il s’agit d’un retrait du gouvernement – génial, ils agissent. Si les acteurs se sont volontairement tus – excellent, peut-être qu’ils ont peur. »


Rate this post
Publicité
Article précédentL’ensemble d’anthologie Civilization VI est maintenant disponible sur consoles
Article suivantDragon Ball Heroes laisse tomber une référence spéciale « super »
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici