REvil ransomware équipage tombe hors ligne, raisons troubles

L’infrastructure Web sombre utilisée par le syndicat de ransomware REvil (alias Sodinokibi) est tombée hors ligne le mardi 13 juillet, mais il n’y a pas encore de clarté sur pourquoi, laissant la communauté de la sécurité incapable de comprendre exactement ce qui s’est passé.

Au moment d’écrire ces lignes, il existe plusieurs scénarios tout aussi plausibles derrière la disparition soudaine du gang REvil. Il pourrait s’agir d’une question aussi simple qu’un problème technique ou d’une débaarde interne entre ses opérateurs.

Les membres du gang pourraient également être mentent bas dans une tentative d’éviter d’être l’objet de représailles de la part des forces de l’ordre à la suite de leur récente attaque très médiatisée contre Kaseya, ou ils pourraient même avoir déjà été compromis et arrêtés.

Les équipes de ransomware disparaissent également fréquemment et se réoutillent avant de faire une grande ré-entrée avec un nouveau projet – REvil est en fait pensé pour avoir fait cela avant, les acteurs derrière elle étant probablement les mêmes que ceux derrière une ancienne souche ransomware connu sous le nom GandCrab. Il est également possible que le gang ait encaissé et s’enfuir.

Quoi qu’il en soit, la disparition du gang est un motif de célébration en sourdine pour le moment, comme l’a déclaré Katie Nickels, directrice du renseignement chez Red Canary.

« Je ne sais pas ce que cela signifie, mais peu importe, je suis heureuse », a-t-elle déclaré. « S’il s’agit d’un retrait du gouvernement – génial, ils prennent des mesures. Si les acteurs se sont volontairement tus – excellent, peut-être qu’ils ont peur. Il est toujours important de se rappeler que cela ne résout pas les ransomwares.

John Vestberg, PDG et co-fondateur de Clavister, a ajouté: « Bien qu’il ne soit pas clair la raison exacte pour laquelle les sites Web de ransomware REvil ont été déconnectés, c’est une étape positive dans la lutte contre ces gangs cybercriminels.

« Cela dit, ce n’est qu’une question de temps avant qu’un autre incident de ransomware ne se produit. L’attaque contre Kaseya était la dernière d’une série d’incidents qui ont causé des ravages à grande échelle – du colonial pipeline à l’usine de production alimentaire JBS aux États-Unis. Ce n’est pas le moment pour les organisations de se reposer sur leurs lauriers.

Dans le meilleur des cas, la chute de REvil est le résultat d’un raid offensif coordonné par les forces de l’ordre dans le pays d’origine du gang – presque certainement la Russie – ce qui suggère que les récentes discussions entre le président américain Joe Biden et son homologue russe Vladimir Poutine ont été plus fructueuses que quiconque dans la cyber-communauté n’avait osé l’espérer.

Et ce scénario peut contenir un élément de vérité. Citant une source ayant des liens présumés avec le gang REvil, la BBC avait précédemment rapporté des suggestions selon lesquelles les autorités américaines avaient perturbé certaines parties de l’infrastructure du gang, les forçant à mettre fin à leurs activités. La source a également déclaré que le gang avait subi des pressions de la part des autorités russes sur l’étendue de ses activités. Ces affirmations devraient être traitées avec beaucoup de scepticisme pour l’instant.

« Si la panne est le résultat d’une réponse offensive, cela envoie alors un nouveau message à ces groupes qu’ils ont une fenêtre limitée pour travailler », a déclaré Steve Moore, stratège en chef de la sécurité d’Exabeam.

Jake Moore d’ESET a déclaré que dans d’autres cas, l’ampleur et l’ampleur de l’amélioration des tactiques d’application de la loi apportaient clairement plus de succès dans la perturbation des acteurs malveillants.

« Bien que les détails de ces tactiques d’application de la loi restent encore inconnus du public, cela souligne que la police continue de croître dans ses opérations et de se battre sous différents angles », a-t-il déclaré. « Cependant, il est peu probable que ce revers pour REvil les dissuade complètement. Au contraire, cela pourrait les inciter davantage.