Les ransomwares sont d’excellents moyens pour les pirates informatiques d’extorquer de l’argent à leurs victimes. Le malware REvil, quant à lui, a fait passer ce système au niveau supérieur grâce à une organisation bien rodée. Zoom sur ce logiciel malveillant qui a fait des dégâts considérables, particulièrement au cours de l’année 2021, et qui n’a peut-être pas fini de sévir.
Sommaire
REvil est un opérateur de ransomware-as-a-service (rançongiciel en tant que service) ayant extorqué des sommes d’argent conséquentes à de grandes organisations du monde entier. Son nom est la contraction de Ransomware Evil, inspiré par la série de jeux vidéo “Resident Evil”.
L’organisation d’un ransomware-as-a-service fonctionne comme suit : un groupe de hackers crée et met à disposition un puissant logiciel malveillant afin de le distribuer à d’autres cybercriminels dits “affiliés”. Ces derniers, moyennant un prix, peuvent alors utiliser le ransomware dans le but de lancer des cyberattaques.
Dans le cas de REvil, les créateurs du rançongiciel réclament une commission à hauteur de 40% des revenus générés pour la mise à disposition du malware ainsi que son assistance. Cependant, les chercheurs ont découvert par la suite que l’équipe principale avait laissé une porte dérobée dans le ransomware, lui permettant de discuter avec la victime et d’organiser le paiement de la rançon en contournant l’intermédiaire de l’attaquant affilié.
Apparu en avril 2019 et également connu sous le nom de Sodinokibi, le ransomware REvil a attiré l’attention des chercheurs en cybersécurité pour deux raisons : l’envergure des profils ciblés (il a notamment visé Lady Gaga, Apple, Acer, ou encore un cabinet d’avocats travaillant pour Donald Trump) et son efficacité redoutable prouvée par l’importance des montants extorqués. Les bénéfices rapportés aux cyberattaquants sont estimés à plus de 81 millions de dollars au cours de la dernière année.
Sur le principe, REvil fonctionne comme la plupart des autres ransomwares. Après avoir pénétré l’appareil de la victime, le logiciel chiffre ses fichiers à l’aide d’une clé détenue uniquement par le pirate. Pour retrouver l’accès à ses documents, la victime se voit alors demander une rançon par le hacker.
Cependant, une particularité du logiciel REvil est la technique de double extorsion utilisée : l’équipe aux commandes menace en effet de divulguer les données sensibles récoltées même après le paiement de la rançon initiale. De plus en plus de groupes de hackers adoptent également cette technique, augmentant la durée du chantage et renforçant la dangerosité des attaques.
Certains rapports utilisent le nom REvil pour faire référence à une opération criminelle qui aurait été interrompue par le FSB russe au début de l’année 2022. Le groupe de hackers à l’origine de REvil avait en effet été identifié comme provenant de Russie.
Néanmoins, il apparaît que le groupe arrêté en Russie était vraisemblablement constitué de criminels affiliés. Ces derniers ont probablement eu un rôle important, leur interpellation ayant eu un impact non négligeable sur la fréquence des attaques mondiales. Pour autant, les attaques liées à ce ransomware n’ont pas totalement disparu.
Les opérations du groupe de pirates à l’origine de REvil ont été démantelées de plusieurs manières par les autorités, notamment avec l’interpellation d’un grand nombre de membres du groupe au début de l’année 2022.
Selon l’équipe en charge des incidents d’IBM X-Force, 1 problème de cybersécurité sur 4 nécessitant une intervention concernait une attaque par rançongiciel, et un tiers d’entre elles était perpétré par REvil / Sodinokibi.
Néanmoins, en avril 2022, une activité similaire aux débuts du ransomware a été constatée : un cybercriminel semblant usurper les techniques d’attaques de REvil a attiré l’attention de la communauté de renseignement sur les menaces.
Les chercheurs en cybersécurité ont noté un détail troublant : l’adresse Tor de l’ancien site vitrine du groupe REvil redirige les internautes vers le site de ce nouveau hacker, prouvant le lien existant entre ce dernier et l’organisation cybercriminelle.
D’après Bleeping Computer, le nouveau blog en question propose le recrutement de nouveaux criminels affiliés en promettant “une version améliorée du ransomware REvil”. Plusieurs hypothèses ont été émises par les chercheurs ; quoi qu’il en soit, REvil pourrait continuer à faire des ravages.
Quelques bonnes pratiques en matière de cybersécurité permettent de se prémunir des rançongiciels et autres programmes malveillants.
Gardez une longueur d’avance sur les cybercriminels :
munissez-vous d’un VPN.
Comment fonctionne le ransomware REvil ?