La réapparition de REvil peut annoncer de nouvelles campagnes de rançon

Le retour apparent du syndicat de ransomware REvil au milieu de la réactivation de son infrastructure et de son site de fuite sur le dark web – connu sous le nom de Happy Blog – a jeté le doute sur les rapports précédents de la disparition de l’équipage et pourrait encore annoncer une nouvelle campagne d’attaques de ransomware dans les mois à venir.

Le syndicat a été mis hors ligne à la mi-juillet dans des circonstances mystérieuses, suscitant des spéculations de la communauté selon lesquelles les autorités russes avaient fait pression sur le gang pour qu’il réduise ses activités à la suite de son attaque très médiatisée contre Kaseya, qui a abattu plusieurs entreprises en supprimant leurs fournisseurs de services gérés.

D’autres ont théorisé qu’il y avait eu une brouille au sein de l’organisation REvil, ou que les membres du gang avaient simplement décidé d’encaisser et de « retirer » REvil pour se concentrer sur de nouveaux projets, comme ils l’ont fait une fois auparavant.

La réactivation du Happy Blog de REvil a été reprise par des chercheurs de toute la communauté de la sécurité, y compris Emsisoft et Recorded Future. Plusieurs rapports indiquent que le portail de paiement du groupe est également à nouveau disponible, et Bleeping Ordinateur a confirmé que des attaques de REvil ont actuellement lieu.

Steve Moore, stratège en chef de la sécurité chez Exabeam, a déclaré que la réactivation de certaines parties de l’infrastructure de REvil semblant être un signe que l’opération est de retour en activité, ce n’est qu’une question de temps avant une autre attaque importante.

« J’encourage les organisations à réfléchir à ce double problème », a déclaré M. Baker. « Tout d’abord, ils ont sans aucun doute leur prochaine chaîne d’approvisionnement logicielle compromise. La technique a commencé dans l’espionnage et a maintenant été empruntée pour des activités criminelles. Cette campagne n’a pas encore commencé, mais elle le sera très bientôt.

« D’autre part, les défenseurs devraient se concentrer davantage sur l’intrusion manquée et les mauvaises options de récupération et moins sur les ransomwares. Le ransomware est le produit de l’intraitable et de perturber le cycle de compromission – point final.

Moore a ajouté: « Directement, REvil a pris le temps de réaménager, de réoutiller et de prendre un peu de vacances au cours de l’été.  Le fait que leurs sites soient de nouveau en ligne signifie qu’ils sont, encore une fois, prêts pour les affaires et ont des objectifs en tête.

Chris Sedgwick, directeur des opérations de sécurité chez Talion, a ajouté: « Les groupes de pirates informatiques qui disparaissent lorsque les choses se réchauffent sont quelque chose que nous avons souvent vu dans le passé, avec des cas comme Emotet ou Anonymous. Lorsque des groupes disparaissent, c’est généralement pour gagner du temps et leur retirer les feux de la rampe des organismes d’application de la loi, et cela signifie rarement qu’ils disparaissent pour de bon.

« En supposant qu’il s’agit bien du même groupe de menaces exploitant l’infrastructure, nous nous attendrions à voir une nouvelle variante de ransomware du groupe dans un proche avenir, mais avec des victimes beaucoup plus soigneusement sélectionnées pour garder l’attention des médias et du gouvernement hors d’eux autant que possible. »

Outre Kaseya, le gang REvil – également connu sous le nom de Sodinokibi – et ses filiales ont été à l’origine de certaines des attaques de ransomware les plus percutantes des deux dernières années, avec des victimes telles que la société américaine de fourniture de viande JBS, le constructeur de PC taïwanais Acer, un cabinet d’avocats new-yorkais avec des clients célèbres, notamment les chanteuses Nicki Minaj et Mariah Carey, et le fournisseur de services de change Travelex. qui a finalement fait faillite à la suite d’une attaque précoce de REvil à la fin de 2019.

On pense que ces efforts ont permis à ceux qui sont derrière REvil d’avoir rapporté au moins 100 millions de dollars et peut-être plus.

Même s’il y a une autre explication derrière la réémergence apparente de REvil, les équipes de sécurité devraient utiliser ce temps pour faire le point sur leur posture de cybersécurité et leurs plans de réponse aux ransomwares. De plus amples conseils sur les défenses efficaces contre les ransomwares sont disponibles auprès du National Cyber Security Centre du Royaume-Uni.