L’opération de ransomware notoire connue sous le nom de REvil (alias Sodin ou Sodinokibi) a repris après six mois d’inactivité, a révélé une analyse de nouveaux échantillons de ransomware. « L’analyse de ces échantillons indique que le développeur a accès au code source de REvil, renforçant la probabilité que le groupe de menaces ait réapparu », ont déclaré des chercheurs de Secureworks Counter Threat Unit (CTU) dans un rapport publié lundi. « L’identification de plusieurs échantillons avec des modifications variables en si peu de temps et l’absence d’une nouvelle version officielle indiquent que REvil est à nouveau en cours de développement intensif. » REvil, abréviation de Ransomware Evil, est un programme de ransomware-as-a-service (RaaS) et attribué à un groupe basé en Russie/parlant connu sous le nom de Gold Southfield, apparu juste au moment où l’activité de GandCrab diminuait et ce dernier annonçait sa retraite. C’est également l’un des premiers groupes à adopter le système de double extorsion dans lequel les données volées lors d’intrusions sont utilisées pour générer un effet de levier supplémentaire et obliger les victimes à payer. Opérationnel depuis 2019, le groupe de rançongiciels a fait la une des journaux l’année dernière pour ses attaques très médiatisées contre JBS et Kaseya, incitant le gang à fermer officiellement ses portes en octobre 2021 après qu’une action des forces de l’ordre a détourné son infrastructure de serveur. Plus tôt en janvier, plusieurs membres appartenant au syndicat de la cybercriminalité ont été arrêtés par le Service fédéral de sécurité (FSB) de Russie à la suite de raids menés dans 25 endroits différents du pays. La résurgence apparente survient alors que le site de fuite de données de REvil dans le réseau TOR a commencé à se rediriger vers un nouvel hôte le 20 avril, la société de cybersécurité Avast révélant une semaine plus tard qu’elle avait bloqué un échantillon de ransomware dans la nature « qui ressemble à un nouveau Sodinokibi / REvil une variante. » Bien que l’échantillon en question ne crypte pas les fichiers et n’ajoute qu’une extension aléatoire, Secureworks l’a attribué à une erreur de programmation introduite dans la fonctionnalité qui renomme les fichiers en cours de cryptage. En plus de cela, les nouveaux échantillons disséqués par la société de cybersécurité – qui portent un horodatage du 11 mars 2022 – intègrent des modifications notables du code source qui le distinguent d’un autre artefact REvil daté d’octobre 2021. Cela inclut les mises à jour de sa logique de déchiffrement de chaîne, l’emplacement de stockage de la configuration et les clés publiques codées en dur. Les domaines Tor affichés dans la note de rançon ont également été révisés, faisant référence aux mêmes sites qui ont été mis en ligne le mois dernier – Site de fuite REvil : blogxxu75w63ujqarv476otld7cyjkq4yoswzt4ijadkjwvg3vrvd5yd[.]onion Site de paiement de rançon REvil : landxxeaf2hoyl2jvcwuazypt6imcsbmhb7kx3x33yhparvtmkatpaad[.]onion La renaissance de REvil est également probablement liée à l’invasion en cours de l’Ukraine par la Russie, à la suite de laquelle les États-Unis ont renoncé à une proposition de coopération conjointe entre les deux pays pour protéger les infrastructures critiques. Au contraire, le développement est un autre signe que les acteurs du ransomware se dissolvent uniquement pour se regrouper et se rebaptiser sous un nom différent et reprendre là où ils se sont arrêtés, soulignant la difficulté d’éradiquer complètement les groupes cybercriminels.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *