Les affiliés de REvil offrent de lourdes remises de rançon, les données révèlent

L’équipe de ransomware REvil, ou Sodinokibi, et ses affiliés semblent avoir intensifié agressivement leurs attaques en juin 2021, selon les données obtenues par LeMagIT, le titre frère Français de Computer Weekly.

LeMagIT a trouvé 35 victimes au total au cours des 30 derniers jours, un peu plus qu’en avril, ce qui est en hausse de 30% par rapport aux périodes les plus actives de la franchise, à savoir août et octobre 2020, et février et mars 2021.

Le nombre de pages sur le site de fuites web sombres de l’équipage donne une indication de l’étendue de l’activité du syndicat: il a répertorié 356 victimes au 3 juin 2021, et 383 au 28 juin, pour un total de 27 nouvelles victimes au cours de la période. Huit semblent manquer, ce qui peut indiquer qu’ils ont payé une rançon, bien que la réalité puisse être différente.

Parmi les échantillons de REvil/Sodinokibi recueillis en juin, cinq semblent mettre en évidence des négociations qui ont mené au paiement au moins partiel d’une rançon, un taux de réussite d’environ 20 %. C’est « mieux » que ce que les filiales du groupe ont réalisé en avril et en mai, mais semble avoir eu un coût – sous la forme d’une forte remise.

Dans le premier cas analysé par LeMagIT, la demande initiale de rançon était de 500 000 $, mais le paiement effectué était d’un peu moins de 281 000 $. Dans un deuxième incident, les négociations ont commencé à 50 000 $, mais un accord a été rapidement conclu pour une rançon de 25 750 $. Le troisième cas est probablement le plus spectaculaire, avec les cybercriminels faisant une demande initiale de 0,000 mais se contentant de seulement ,000 – paiement a eu lieu quatre jours après le début de la discussion.

On a observé le même phénomène dans deux autres cas. Le premier a abouti à un paiement de rançon de $17,467 au lieu de la $100,000 initialement demandé, après des discussions qui ont duré près d’un mois. Dans le second cas, les mafieux se sont contentés de 15 300 $, après trois semaines de négociations, après avoir exigé 90 000 $ pour commencer.

Ces sommes semblent être quelque peu faibles par rapport à d’autres rançons très médiatisées payées ces derniers mois, mais les victimes semblent également plus enclines à résister – LeMagIT a observé une négociation initiée sur la base d’une demande de 2,5 millions de dollars, mais la victime a rapidement mis fin aux discussions.

Interrogé début juin sur son activité par un spécialiste russophone du renseignement sur les menaces, un représentant de REvil a néanmoins affirmé que le groupe se portait bien et a déclaré que la demande d’accès au programme de ransomware-as-a-service (RaaS) du gang était élevée, avec huit candidats postulant pour une seule place.

L’équipe de REvil investit apparemment toujours dans sa plate-forme RaaS, avec la version Linux de son outil de cryptage – annoncée pour la première fois en avril et disponible depuis début mai – maintenant observée dans la nature pour la première fois. Cet outil commence son travail en arrêtant toutes les machines virtuelles (VM) sur l’hôte ESXi sur lequel il est déployé avant d’engager le chiffrement, comme observé par Vitali Kremez d’Advanced Intelligence.

Mais le gang pourrait aussi avoir des liens avec d’autres groupes, peut-être même plusieurs. Des enquêtes récentes menées par l’équipe SecureWorks ont révélé que le ransomware LV émergent est fortement basé sur le code Sodinokibi – cependant, ils ne répondent pas aux questions qui peuvent découler de l’existence de deux sites de fuite différents pour les opérations d’extorsion de LV, dont l’un est récemment devenu indisponible, peut-être temporairement.

Ces éléments ne jettent pas non plus de lumière sur le mystère qui plane sur une autre campagne de ransomware, connu sous le nom Lorenz.sZ40 (apparemment nommé d’après l’une des machines de chiffrement nazies fissurées à Bletchley Park pendant la Seconde Guerre mondiale). Bien que les chercheurs d’Intezer ne voient aucun lien dans le code binaire avec REvil / Sodinokibi, l’interface Web pour effectuer des paiements de rançon n’est rien de plus qu’une copie de REvil, bien qu’il manque un module de chat en direct.