• Perspective
Publié le 13 mai 2022

Le retour de REvil

Après la fermeture des activités du gang de rançonneurs REvil en octobre et l’arrestation de certains de ses membres par les pouvoirs publics russes en janvier, des rumeurs courent depuis avril sur la reprise des activités du gang. Sur quels indices ces rumeurs sont-elles fondées ?

L’histoire de REvil

Un retour sur les pratiques du gang russe s’impose. Ce dernier s’est imposé comme un des groupes de hackers les plus connus de la planète suite à plusieurs faits d’armes, en particulier une attaque sur le fournisseur américain de services gérés Kaseya en juillet 2021, qui aurait affecté au total un millier d’entreprises.

REvil, c’est aussi l’illustration d’un modèle caractéristique de la cybercriminalité : la rançon à la demande (RaaS ou « Ransomware as a Service »).

En effet, le groupe a l’habitude de louer son logiciel malveillant sous la forme d’un abonnement, permettant ainsi au premier venu de diffuser le « ransomware » (moyennant finance, évidemment). Dans le cas de REvil, le groupe se rémunère en prélevant une part des rançons. Les abonnés, appelés affiliés, peuvent utiliser le logiciel, mais n’ont pas accès au code source.

L’importance du groupe était telle qu’en 2020, 29% des attaques par ransomware avaient recours au logiciel de REvil, selon IBM.

Après l’arrestation de 7 suspects par Europol en novembre, les agissements du groupe ont officiellement pris fin à la suite d’une intervention du service de renseignement russe FSB, aidé de son propre aveu par les renseignements américains. On a alors annoncé le démantèlement du groupe et la fin de toute son activité.

Toute ? Non.

REvil de retour ?

Depuis mi-avril, plusieurs faits viennent conforter l’hypothèse d’une relance des activités de REvil.

Il s’agit d’abord d’un retour des activités de communication du groupe. Les chercheurs en sécurité pancak3 et Soufiane Tahiri, ont ainsi relevé en avril qu’un site de REvil était accessible via une redirection sur la plateforme russe RuTOR, et exposait les conditions d’abonnement au ransomware.

Surtout, cette page semblait indiquer un retour des opérations de REvil. En effet, on y trouvait 26 pages de victime, 2 d’entre elles ayant été touchées après la fermeture officielle de REvil.

Capture d’écran réalisée par le chercheur pancak3, exposant les dernières actions revendiquées par REvil

Une autre piste était dès lors exploitable : l’analyse du code utilisé lors des opérations récentes, par exemple lors de l’attaque sur Oil India.

Des chercheurs en sécurité informatique de la société SecureWork relèvent que des développeurs ont eu accès au code source de REvil et y contribuent activement, ce qui est confirmé par les chercheurs Vitali Kremez et R3MRUM. Or, rappelons que seuls les membres du groupe ont accès au code source, et non pas les simples affiliés.

À ces arguments techniques, s’ajoutent des sources humaines. Le chercheur FellowSecurity a pu ainsi déclarer au blog BleepingComputer que l’un des développeurs historiques de REvil avait relancé les opérations de rançonnage.

Les autres explications

Divers observateurs proposent des hypothèses alternatives.

Une chercheuse en sécurité d’Orange Cyberdéfense, Diana Selck-Paulsson, envisageait par exemple la possibilité de l’utilisation de la marque de REvil par un autre groupe voulant profiter de son image de marque.

Une autre hypothèse est l’utilisation du blog de REvil par les renseignements russes afin de piéger d’éventuels cybercriminels, selon le procédé dit du « pot de miel » (« honeypot »).

En l’état actuel de nos connaissances, il n’est pas encore possible de trancher en faveur d’une de ces pistes. Restons aux aguets, les prochains indices seront déterminants.

Auteur : Alexandre Schwerer

Références

https://securityintelligence.com/posts/ransomware-2020-attack-trends-new-techniques-affecting-organizations-worldwide/

https://mobile.twitter.com/pancak3lullz/status/1516771387872104454

https://timesofindia.indiatimes.com/business/india-business/ib-central-cyber-security-agencies-to-probe-ransomware-attack-on-oil-india/articleshow/90865903.cms

https://twitter.com/VK_Intel

https://twitter.com/R3MRUM

https://www.bleepingcomputer.com/news/security/REvil-ransomware-returns-new-malware-sample-confirms-gang-is-back/

https://techmonitor.ai/technology/cybersecurity/is-REvil-back-ransomware

Article rédigé par
La Minute Cyber