Connect with us

Technologie

Une opération multigouvernementale cible le groupe de rançongiciels REvil

Published

on


Le groupe de ransomware REvil a été mis hors ligne après une opération coordonnée par plusieurs gouvernements, selon quatre personnes au courant de l’action.

REvil, anciennement connu sous le nom de Sodinokibi, a été crédité d’avoir mené un certain nombre d’attaques de ransomware très médiatisées, notamment contre la société de transformation de la viande JSB, le fabricant taïwanais de PC Acer et la société de gestion de logiciels Kaseya, cette dernière attaque affectant des centaines de fournisseurs de services gérés.

Le 17 octobre 2021, le représentant de REvil sur le forum de cybercriminalité XSS a confirmé qu’un tiers inconnu avait accédé à des parties du back-end de la page de destination et du blog de son site Web. Le récit du représentant est resté silencieux depuis l’annonce.

Le site Web du groupe « Happy Blog », qui avait été utilisé pour divulguer les données des victimes et extorquer des entreprises, n’est également plus disponible.

Ceux qui connaissaient l’opération multi-gouvernementale, y compris trois experts en cybersécurité du secteur privé et un ancien responsable américain, ont déclaré à Reuters qu’un partenaire étranger du gouvernement américain avait mené l’opération de piratage qui a pénétré l’architecture informatique de REvil.

On ne sait toujours pas quels gouvernements ont été impliqués dans l’opération, mais l’ancien responsable américain a ajouté, sous couvert d’anonymat, qu’elle était en cours.

Le syndicat avait déjà été mis hors ligne à la mi-juillet dans des circonstances mystérieuses, suscitant des spéculations de la communauté selon lesquelles les autorités russes, où REvil est probablement basé, avaient fait pression sur le gang pour qu’il réduit ses activités dans le sillage de Kaseya.

Selon le rapport de Reuters, le FBI a réussi à obtenir une clé de décryptage universelle à la suite de Kaseya, prenant le contrôle de certains des serveurs de REvil et permettant aux personnes infectées via l’attaque de récupérer leurs fichiers sans payer de rançon.

Le rapport de Reuters a ajouté que lorsque 0_neday et d’autres, membres de REvil, ont restauré leurs sites Web à partir d’une sauvegarde en septembre 2021, ils ont redémarré sans le savoir certains systèmes internes qui étaient déjà sous le contrôle des forces de l’ordre américaines.

« Le serveur a été compromis et ils me cherchaient », a écrit 0_neday sur un forum sur la cybercriminalité repéré pour la première fois par la société de sécurité Recorded Future. « Bonne chance, tout le monde; Je suis parti.

S’adressant à Reuters, Tom Kellermann, conseiller des services secrets américains sur les enquêtes sur la cybercriminalité, a déclaré: « Le FBI, en collaboration avec le Cyber Command, les services secrets et des pays partageant les mêmes idées, s’est vraiment engagé dans des actions perturbatrices importantes contre ces groupes. REvil était en tête de liste. »

Des responsables anonymes du gouvernement américain ont également déclaré à Reuters que REvil, utilisant le logiciel de cryptage DarkSide, était également à l’origine de l’attaque de ransomware de mai 2021 sur Colonial Pipeline, qui a conduit à des pénuries de gaz généralisées aux États-Unis.

C’est la première fois que REvil et DarkSide sont décrits comme la même opération, les rapports précédents sur leurs attaques les distinguant comme des gangs de ransomware distincts.

« Cela contredit les rapports de plusieurs mois selon lesquelles un groupe de ransomware nommé DarkSide était responsable de l’attaque », a déclaré l’équipe de recherche Digital Shadows Photon. « Le FBI a refusé de commenter ces récentes révélations, comme c’est typique lors des enquêtes en cours.

« Malgré les opérations d’application de la loi, il est réalistement possible que les affiliés indemnes de REvil reviennent en tant que groupe de ransomware rebaptisé. Il s’agit d’une tactique familière employée par les cybercriminels qui restent déterminés à poursuivre les opérations d’extorsion de ransomware.

Il est largement admis que REvil est déjà un changement de marque d’une opération de ransomware précédente, les acteurs derrière elle étant probablement les mêmes que ceux derrière une ancienne souche de ransomware connue sous le nom de GandCrab.

Bien qu’à un moment donné, certains chercheurs aient cru que REvil était en cours de changement de nom sous le nom de DarkSide, qui a émergé pour la première fois en août 2020, les deux ont continué à fonctionner côte à côte pendant près d’un an jusqu’à ce que ce dernier attaque Colonial Pipeline en mai.

À la suite de l’incident du ransomware Colonial Pipeline et d’autres attaques très médiatisées telles que SolarWinds, le président américain Joe Biden a signé un nouveau décret pour renforcer la cybersécurité et les réseaux gouvernementaux américains, en mettant l’accent sur le partage d’informations.

La Maison Blanche a déclaré à l’époque que les fournisseurs informatiques hésitaient trop souvent (ou ne peuvent pas) partager des informations sur les compromis, souvent pour des raisons contractuelles, mais aussi par hésitation à se mettre dans l’embarras ou à embarrasser leurs clients.

En adoptant des mesures pour changer cela, l’administration a déclaré qu’elle serait en mesure de défendre plus efficacement les organismes gouvernementaux et d’améliorer la cybersécurité plus large des États-Unis.

En réponse au piratage de REvil, Steve Forbes, expert en cybersécurité gouvernementale chez Nominet, a déclaré que despN’étant pas toujours une méthode d’attaque très sophistiquée, la notoriété des ransomwares est dû à ses impacts dans le monde réel.

« Une combinaison d’analyse du réseau pour identifier les signes révélateurs d’une attaque de ransomware, de sauvegardes robustes pour faciliter la récupération et de retraits coordonnés à travers le pays sera la clé pour endiguer le flux d’attaques de ransomware réussies à l’avenir », a-t-il déclaré.

« Bien qu’il s’agisse d’une victoire majeure dans la bataille contre les ransomwares, nous ne pouvons pas rester tranquilles car les organisations à l’origine des ransomwares ont généré des revenus importants, ce qui leur donne la possibilité de changer de marque et de se réinventer plusieurs fois. Nous ne pouvons qu’espérer que ces mesures d’application de la loi commencent à rendre le risque plus grand que la récompense pour les cybercriminels. »



Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance