Après deux attaques d'ampleur coup sur coup, les opérateurs du rançongiciel REvil ont disparu d'Internet. Pour combien de temps ?

« Nous allons travailler avec diligence pour amener les acteurs malveillants face à la justice ». Au début du mois de juin 2021, les autorités américaines plaçaient le gang REvil dans leur viseur. Le groupe de cybercriminels venait de contaminer JBS, une des plus grandes entreprises du secteur agroalimentaire, avec son rançongiciel. Cela a été une réussite, puisque la victime a accepté de payer la rançon de 11 millions de dollars pour obtenir les clés de déchiffrement et relancer son activité au plus vite.

Plus d’un mois plus tard, dans la nuit du 12 au 13 juillet, tous les sites de REvil sont passés hors ligne, comme l’a repéré le Bleeping Computer, média de référence sur les rançongiciels. Certains étaient dédiés à la négociation des rançons, d’autres à la publication des données volées ou encore à la promotion des activités du gang.

Clap de fin pour REvil ? // Source : Louise Audry pour Numerama

La plupart étaient des « .onion », accessibles uniquement via le réseau Tor, ce qui les qualifie communément comme faisant partie du « dark web ». Habituellement, ils peuvent passer hors ligne à intervalles réguliers à cause de la relative instabilité du réseau. Mais leur disparition simultanée a de quoi surprendre, surtout que même le site du groupe sur le « clear web » n’est plus accessible. Des indices suffisants pour s’interroger sur le futur du groupe ?

La pression américaine, plus forte que jamais

L’histoire ne s’arrête pas là. L’après-midi suivant la disparition, un représentant de LockBit (gang concurrent de REvil) a publié sur le forum russe XSS, très prisé par les cybercriminels : « Sur la base d’informations non corroborées, l’infrastructure de REvil a reçu une requête légale de la part du gouvernement, ce qui a forcé REvil à complètement effacer ses serveurs et à disparaître. Cependant, ce n’est pas confirmé. » Dans la foulée, les administrateurs du forum ont banni « Unknown » le compte porte-parole du gang. Comme le rappelle le Bleeping Computer, ce genre de mesure a habituellement pour objectif de protéger le forum lorsque l’utilisateur est soupçonné d’avoir été compromis par la police.

Plus tôt dans la semaine, le président Joe Biden affirmait qu’il avait de nouveau contacté son homologue russe Vladimir Poutine pour qu’il collabore à l’arrestation des opérateurs de rançongiciel. Historiquement, le pouvoir russe laisse faire les cybercriminels qui opèrent sur son territoire, tant qu’ils ne s’en prennent pas aux pays de sa sphère d’influence. Mais depuis le début de l’année et l’affaire Colonial Pipeline, les États-Unis, appuyés par leurs alliés du G7, mettent une véritable pression diplomatique pour changer cette posture.

« Les États-Unis prendront toute action nécessaire »

Leur discours s’est récemment encore durci, Biden déclarant que « les États-Unis prendront toute action nécessaire à la défense de son peuple et de ses infrastructures critiques », tandis qu’une porte-parole de la Maison-Blanche menaçait quelques jours plus tôt d’une intervention américaine sur le territoire russe « si le gouvernement russe ne le peut pas ou ne le fait pas ».

Il faut dire que les mises en garde proférées après l’affaire JBS n’ont pas empêché REvil de frapper à nouveau, et encore plus fort. Ils ont réussi à exploiter une vulnérabilité du logiciel Kaseya pour déployer leur rançongiciel sur plus d’un millier de réseaux d’entreprise. Puis ils ont demandé une rançon de 50 millions de dollars pour tout débloquer, ou des sous-paiements onéreux pour chaque réseau.

Où est passé REvil ?

Tant que la disparition de REvil ne sera pas commentée par les principaux concernés ou par les autorités, on ne peut que théoriser sur les raisons :

  • Un arrêt temporaire pour raisons techniques. C’est l’hypothèse la moins probable, mais elle ne peut pas encore être exclue. REvil pourrait réapparaître tel quel, éventuellement avec des mises à jour.
  • Une mise à l’arrêt volontaire, par précaution. C’est la piste la plus sérieuse. REvil suivrait ainsi les traces de Darkside (impliquée dans l’affaire Colonial Pipeline) et Babuk (qui a rançonné la police de Washington D.C.). Ces deux groupes de cybercriminels ont volontairement débranché leurs infrastructures avant que les autorités ne les atteignent. Ce genre d’arrêt anticipé vise plus à faire disparaître les traces, avant qu’il ne soit trop tard, qu’à mettre un point final à l’activité. Ainsi, plusieurs membres de Babuk ont simplement lancé un nouveau site avec une nouvelle version du rançongiciel. Ce n’est pas un cas isolé : les « rebrandings » sont courants dans les milieux cybercriminels. REvil lui-même a été créé par des membres de Gandcrab, un rançongiciel qui a disparu en 2019, et il ne serait pas surprenant qu’ils changent encore de nom. De même, le flambeau du célèbre Maze a été repris par Egregor. Ou alors, les cybercriminels ont tout simplement pris une retraite anticipée avec des millions de dollars.
  • Un démantèlement par les forces de l’ordre. Avec le démantèlement d’organisations comme Emotet ou TrickBot, les autorités ont récemment prouvé qu’elles parviennent ponctuellement à passer les menottes aux mains des cybercriminels, et à saisir leurs infrastructures. Si tel était le cas pour REvil, ce serait le fruit d’une collaboration très rare entre Russes et Américains.

Crédit photo de la une : Louise Audry pour Numerama

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux