L’équipe du ransomware REvil se déconnecte, des raisons obscures

Infrastructure du dark web utilisée par le syndicat de rançongiciels REvil (alias Sodinokibi) déconnecté le mardi 13 juillet, mais on ne sait pas encore pourquoi, laissant la communauté de la sécurité incapable de comprendre exactement ce qui s’est passé.

Au moment d’écrire ces lignes, il existe plusieurs scénarios tout aussi plausibles derrière la disparition soudaine du gang REvil. Il peut s’agir d’un simple problème technique ou d’une rupture interne entre ses opérateurs.

Les membres du gang pourraient également faire profil bas pour tenter d’éviter de faire l’objet de représailles de la part des forces de l’ordre à la suite de leur récente attaque très médiatisée contre Kaseya, ou ils pourraient même avoir déjà été compromis et arrêtés.

Les équipes de ransomware disparaissent également fréquemment et se réorganisent avant de faire une grande rentrée avec un nouveau projet – on pense en fait que REvil l’a déjà fait auparavant, les acteurs derrière cela étant probablement les mêmes que ceux derrière une ancienne souche de ransomware connu sous le nom de GandCrab. Il est également possible que le gang ait encaissé et s’enfuit.

Quoi qu’il en soit, la disparition du gang est pour le moment un motif de célébration en sourdine, comme Katie Nickels, directrice du renseignement à Canari rouge, mentionné.

“Je ne sais pas ce que cela signifie, mais peu importe, je suis heureuse”, a-t-elle déclaré. « S’il s’agit d’un retrait du gouvernement – ​​génial, ils agissent. Si les acteurs se sont volontairement tus – excellent, peut-être qu’ils ont peur. Il est toujours important de se rappeler que cela ne résout pas les ransomwares.

John Vestberg, PDG et co-fondateur de Claviste, a ajouté : « Bien qu’on ne sache pas exactement pourquoi les sites Web de ransomware REvil sont hors ligne, il s’agit d’une étape positive dans la lutte contre ces gangs de cybercriminels.

« Cela dit, ce n’est qu’une question de temps avant qu’un autre incident de ransomware n’ait lieu. L’attaque contre Kaseya était le dernier d’une série d’incidents qui ont causé des ravages à grande échelle – du Colonial Pipeline à l’usine de production alimentaire JBS aux États-Unis. Ce n’est pas le moment pour les organisations de faire preuve de complaisance.

Dans le meilleur des cas, l’abattage de REvil est le résultat d’un raid offensif coordonné par les forces de l’ordre dans le pays d’origine du gang – presque certainement la Russie – ce qui suggérerait que discussions récentes entre le président américain Joe Biden et son homologue russe Vladimir Poutine ont été plus fructueux que quiconque dans la cybercommunauté avait osé l’espérer.

Et ce scénario peut contenir un élément de vérité. Citant une source ayant des liens présumés avec le gang REvil, la BBC a rapporté plus tôt des suggestions selon lesquelles les autorités américaines avaient perturbé des parties de l’infrastructure du gang, les forçant à fermer leurs opérations. La source a également déclaré que le gang avait subi des pressions de la part des autorités russes concernant l’étendue de ses activités. Ces revendications doivent être traitées avec beaucoup de scepticisme pour le moment.

“Si la panne est le résultat d’une réponse offensive, cela envoie alors un nouveau message à ces groupes qu’ils ont une fenêtre limitée dans laquelle travailler”, a déclaré Exabeam stratège en chef de la sécurité, Steve Moore.

ESET Jake Moore a déclaré que dans d’autres cas, l’ampleur et l’étendue de l’amélioration des tactiques d’application de la loi étaient clairement désormais plus efficaces pour perturber les acteurs malveillants.

“Bien que les détails de ces tactiques d’application de la loi restent encore inconnus du public, cela souligne que la police continue de se développer dans ses opérations et de se battre sous différents angles”, a-t-il déclaré. « Cependant, il est peu probable que ce revers pour REvil les dissuade complètement. Si quoi que ce soit, cela peut les inciter davantage.