Qu’est-ce que le ransomware REvil ?

REvil est un opérateur de ransomware-as-a-service (rançongiciel en tant que service) ayant extorqué des sommes d’argent conséquentes à de grandes organisations du monde entier. Son nom est la contraction de Ransomware Evil, inspiré par la série de jeux vidéo “Resident Evil”.

L’organisation d’un ransomware-as-a-service fonctionne comme suit : un groupe de hackers crée et met à disposition un puissant logiciel malveillant afin de le distribuer à d’autres cybercriminels dits “affiliés”. Ces derniers, moyennant un prix, peuvent alors utiliser le ransomware dans le but de lancer des cyberattaques.

Dans le cas de REvil, les créateurs du rançongiciel réclament une commission à hauteur de 40% des revenus générés pour la mise à disposition du malware ainsi que son assistance. Cependant, les chercheurs ont découvert par la suite que l’équipe principale avait laissé une porte dérobée dans le ransomware, lui permettant de discuter avec la victime et d’organiser le paiement de la rançon en contournant l’intermédiaire de l’attaquant affilié.

Apparu en avril 2019 et également connu sous le nom de Sodinokibi, le ransomware REvil a attiré l’attention des chercheurs en cybersécurité pour deux raisons : l’envergure des profils ciblés (il a notamment visé Lady Gaga, Apple, Acer, ou encore un cabinet d’avocats travaillant pour Donald Trump) et son efficacité redoutable prouvée par l’importance des montants extorqués. Les bénéfices rapportés aux cyberattaquants sont estimés à plus de 81 millions de dollars au cours de la dernière année.

Sur le principe, REvil fonctionne comme la plupart des autres ransomwares. Après avoir pénétré l’appareil de la victime, le logiciel chiffre ses fichiers à l’aide d’une clé détenue uniquement par le pirate. Pour retrouver l’accès à ses documents, la victime se voit alors demander une rançon par le hacker.

Cependant, une particularité du logiciel REvil est la technique de double extorsion utilisée : l’équipe aux commandes menace en effet de divulguer les données sensibles récoltées même après le paiement de la rançon initiale. De plus en plus de groupes de hackers adoptent également cette technique, augmentant la durée du chantage et renforçant la dangerosité des attaques.

Certains rapports utilisent le nom REvil pour faire référence à une opération criminelle qui aurait été interrompue par le FSB russe au début de l’année 2022. Le groupe de hackers à l’origine de REvil avait en effet été identifié comme provenant de Russie.

Néanmoins, il apparaît que le groupe arrêté en Russie était vraisemblablement constitué de criminels affiliés. Ces derniers ont probablement eu un rôle important, leur interpellation ayant eu un impact non négligeable sur la fréquence des attaques mondiales. Pour autant, les attaques liées à ce ransomware n’ont pas totalement disparu.

Les opérations du groupe de pirates à l’origine de REvil ont été démantelées de plusieurs manières par les autorités, notamment avec l’interpellation d’un grand nombre de membres du groupe au début de l’année 2022.

• En septembre 2021, Bitdefender a publié une clé de décryptage permettant aux entreprises touchées par le malware REvil avant une certaine date de déchiffrer leurs fichiers et d’éviter de payer une rançon.
• En octobre 2021, une attaque coordonnée au niveau international a mis hors ligne de nombreux serveurs et serveurs de sauvegarde du groupe.
• En novembre 2021, une coalition internationale entre les forces de l’ordre a conduit à l’arrestation de 7 personnes liées à REvil et à un groupe de ransomware similaire.
• En janvier 2022, les forces de l’ordre russes ont annoncé 14 arrestations des membres du groupe et la saisie de leurs biens.

Selon l’équipe en charge des incidents d’IBM X-Force, 1 problème de cybersécurité sur 4 nécessitant une intervention concernait une attaque par rançongiciel, et un tiers d’entre elles était perpétré par REvil / Sodinokibi.

Néanmoins, en avril 2022, une activité similaire aux débuts du ransomware a été constatée : un cybercriminel semblant usurper les techniques d’attaques de REvil a attiré l’attention de la communauté de renseignement sur les menaces.

Les chercheurs en cybersécurité ont noté un détail troublant : l’adresse Tor de l’ancien site vitrine du groupe REvil redirige les internautes vers le site de ce nouveau hacker, prouvant le lien existant entre ce dernier et l’organisation cybercriminelle.

D’après Bleeping Computer, le nouveau blog en question propose le recrutement de nouveaux criminels affiliés en promettant “une version améliorée du ransomware REvil”. Plusieurs hypothèses ont été émises par les chercheurs ; quoi qu’il en soit, REvil pourrait continuer à faire des ravages.

Quelques bonnes pratiques en matière de cybersécurité permettent de se prémunir des rançongiciels et autres programmes malveillants.

• Mettre en place des contrôles d’accès plus stricts au sein des réseaux partagés.
• Surveiller minutieusement les comptes pour détecter toute activité suspecte.
• Former les équipes de l’entreprise aux différentes techniques de phishing, qui peuvent mener au téléchargement accidentel de logiciels malveillants.
• Établir un plan d’action pour réagir rapidement et efficacement aux attaques.
• Utiliser les bons outils de cybersécurité, comme un VPN pour chiffrer les données échangées sur le réseau.
• Opter pour une Protection Anti-menaces pour empêcher l’infection par des logiciels malveillants et l’accès aux sites web réputés dangereux.

Gardez une longueur d’avance sur les cybercriminels :
munissez-vous d’un VPN.