Le groupe de cybercriminels de Revil avait demandé une rançon de 70 millions de dollars pour fournir un déchiffreur universel aux entreprises frappées par son ransomware dans l'affaire Kaseya. (crédit : Pexels / Sora Shimazaki)
Soudainement disparu en plein coeur de l'été, le cybergang Revil refait parler de lui. Des serveurs liés à ses activités malveillantes de rançongiciel ont de nouveau été accessibles.
Le cybergang à l'origine de Revil ferait-il son comeback ? Soudainement disparu fin juillet, laissant au passage sur le carreau des victimes dans l'impossibilité de recouvrer leurs données chiffrées, cet opérateur n'avait depuis plus donner signe de vie. Tout du moins officiellement, puisque quelques jours plus tard des interrogations ont émergé suite à la découverte des ransomwares BlackMatter et Haron qui pourraient bien être liés avec leur aîné Revil. Tout récemment, un autre fait inattendu concernant Revil s'est également produit : la remise en ligne de serveurs utilisés pour les opérations malveillantes du cybergang, en particulier pour collecter les fonds extorqués à ses cibles.
« Le site de paiement/négociation de Tor et le site de fuite de données Tor 'Happy Blog' de Revil sont soudainement revenus en ligne », a expliqué le 7 septembre Bleeping Computer. « Contrairement au site de fuite de données, qui est fonctionnel, le site de négociation Tor ne semble pas encore pleinement opérationnel ». Pour l'instant, difficile de savoir s'il s'agit d'une véritable résurrection ou bien d'une remise en ligne fortuite sans lendemain. Un autre site lié au déchiffrement de fichiers de Revil reste quant à lui toujours hors ligne.
Revil dans le collimateur du FBI en juillet
Revil - aka Sodinokibi - avait en particulier fait parler de lui en parvenant à exploiter la vulnérabilité de VSA de Kaseya début juillet 2021, une solution utilisée par des dizaines de fournisseurs de services hébergés (MSP). Avec à la clé des attaques par rebond en masse qui ont pu toucher plusieurs centaines d'entreprises. Auparavant, Revil avait pris dans ses griffes le constructeur taïwanais Acer avec une rançon de 50 millions de dollars demandée et de 11 millions de dollars de la filiale américaine de la multinationale de l'agroalimentaire JBS. Cette dernière cyberattaque avait provoquée les foudres de la Maison Blanche, du FBI, du ministère de l'Agriculture ainsi que des gouvernements australien et canadien, contribuant ainsi à sa chute. Définitive ?
Suivez-nous