La réapparition de REvil pourrait annoncer de nouvelles campagnes de rançon
4 min read
Le retour apparent du REvil ransomware syndicat au milieu de la réactivation de son infrastructure et de son site de fuite Web sombre – connu sous le nom de Happy Blog – a jeté le doute sur les rapports précédents de la disparition de l’équipage et pourrait encore annoncer une nouvelle campagne d’attaques de ransomware dans les mois à venir.
Le syndicat a été déconnecté à la mi-juillet dans des circonstances mystérieuses, ce qui a incité la communauté à spéculer que les autorités russes avaient fait pression sur le gang pour qu’il réduise ses activités à la suite de son attaque très médiatisée contre Kaseya, qui a abattu plusieurs entreprises en retirant leurs fournisseurs de services gérés.
D’autres ont émis l’hypothèse qu’il y avait eu une brouille au sein de l’organisation REvil, ou que les membres du gang avaient simplement décidé d’encaisser et de « retirer » REvil pour se concentrer sur de nouveaux projets, comme ils l’ont fait une fois avant.
La réactivation de REvil’s Happy Blog a été reprise par des chercheurs de toute la communauté de la sécurité, y compris Emsisoft et Avenir enregistré. Plusieurs rapports indiquent que le portail de paiement du groupe est également à nouveau disponible, et Ordinateur qui bipe a confirmé que REvil attaque se déroulent actuellement.
Exabeam Le stratège en chef de la sécurité, Steve Moore, a déclaré que, comme la réactivation de certaines parties de l’infrastructure de REvil semble être un signe que l’opération est de nouveau opérationnelle, ce n’est qu’une question de temps avant une autre attaque importante.
« J’encourage les organisations à réfléchir à ce double point », a déclaré Baker. « Premièrement, leur prochaine chaîne d’approvisionnement logicielle est sans aucun doute compromise. La technique a commencé dans l’espionnage et a maintenant été empruntée pour des activités criminelles. Cette campagne n’a pas encore commencé, mais le sera très bientôt.
« D’un autre côté, les défenseurs devraient se concentrer davantage sur les intrusions manquées et les mauvaises options de récupération et moins sur les ransomwares. Le ransomware est le produit de l’incapacité de détecter et de perturber le cycle de compromission – point final. »
Moore a ajouté : « Directement, REvil a pris le temps de se réaménager, de se rééquiper et de prendre un peu de vacances cet été. Le fait que leurs sites soient de nouveau en ligne signifie qu’ils sont, encore une fois, prêts pour les affaires et qu’ils ont des objectifs en tête.
Talion Le directeur des opérations de sécurité, Chris Sedgwick, a ajouté: «Les groupes de pirates qui disparaissent lorsque les choses se réchauffent sont quelque chose que nous avons fréquemment vu dans le passé, avec des cas comme Emotet ou Anonymous. Lorsque des groupes disparaissent, c’est généralement pour gagner du temps et les détourner de l’attention des forces de l’ordre, et cela signifie rarement qu’ils disparaissent pour de bon.
“En supposant qu’il s’agisse bien du même groupe de menaces qui exploite l’infrastructure, nous nous attendrions à voir une nouvelle variante de ransomware du groupe dans un proche avenir, mais avec des victimes beaucoup plus soigneusement sélectionnées pour détourner l’attention des médias et du gouvernement. autant que possible.
Outre Kaseya, le gang REvil – également connu sous le nom de Sodinokibi – et ses affiliés ont été à l’origine de certaines des attaques de ransomware les plus percutantes des deux dernières années, avec des victimes dont L’entreprise américaine d’approvisionnement en viande JBS, Constructeur de PC taïwanais Acer, un cabinet d’avocats new-yorkais avec des clients célèbres dont des chanteurs Nicki Minaj et Mariah Carey, et fournisseur de services de change Travelex, qui a finalement fait faillite à la suite d’une attaque précoce de REvil fin 2019.
On pense que ces efforts ont rapporté à ceux qui sont derrière REvil au moins 100 millions de dollars et peut-être plus.
Même s’il y a une autre explication derrière la réémergence apparente de REvil, les équipes de sécurité devraient profiter de ce temps pour faire le point sur leur posture de cybersécurité et leurs plans de réponse aux ransomwares. Plus de conseils sur les défenses efficaces contre les ransomwares sont disponibles du National Cyber Security Center du Royaume-Uni.
