REvil, l’un des gangs les plus craints dans le domaine de la cybersécurité vient d’être rayé du web par une opération des forces de l’ordre. Le gang responsable du hack historique de Kaseya naviguait depuis septembre dernier sur des serveurs vérolés, contrôlés par le FBI.

REvil, l’un des plus gros gangs sur le terrain des rançongiciels, vient d’être mis (au moins temporairement) hors d’état de nuire par les autorités américaines. Comme le révèle l’agence de presse Reuters, les systèmes informatiques du groupe ont été mis hors ligne dans la semaine du 18 octobre 2021.

Lors d’une opération menée par le FBI, les services secrets et plusieurs autres agences gouvernementales d’autres pays, le site Happy Blog, qui servait de QG aux différents membres du groupe, a été mis hors-ligne.

Des sauvegardes corrompues

« Le FBI, en collaboration avec le Cyber Command, les services secrets et des pays alliés, a mené d’importantes actions de déstabilisation envers ces groupes », a expliqué Tom Kellerman, un conseiller en cybersécurité pour le compte des services secrets américains.

Poursuivi par le gouvernement américain depuis juillet 2021, en raison du hack historique de Kaseya qui a touché plus d’un million de systèmes informatiques, le gang REvil avait disparu des radars pendant deux mois suite à une attaque menée par « un allié étranger » du gouvernement américain. Deux mois plus tard, en septembre 2021, REvil revenait d’entre les morts, au grand dam de tous les spécialistes de la cybersécurité.

Les sauvegardes de REvil étaient corrompues également // Source : PXfuel

Ce que le gang ignorait par contre, c’est que les sauvegardes qui ont servi à rétablir l’accès à leurs systèmes informatiques étaient elles aussi vérolées. Résultat, même après leurs retours triomphants, les systèmes informatiques de REvil étaient toujours surveillés par les autorités américaines, qui ont pu raser leur site de la face du web quelques semaines plus tard.

Les rançongiciels au même niveau que la menace terroriste

De manière assez ironique, cette technique d’infection des sauvegardes est très prisée par REvil lui-même. « La tactique favorite du gang, qui consiste à compromettre les sauvegardes, s’est retournée contre eux » pointe Oleg Skulkin, un spécialiste russe de la cybersécurité qui a détaillé l’affaire à Reuters. Dans le cadre d’activités aussi critiques, il est essentiel de garder des sauvegardes de son système sur des serveurs complètement isolés d’Internet, pour ne pas risquer ce genre de déconvenue.

La mise hors ligne du site ne semble pas être une totale surprise pour REvil. 0_neday, un des leaders du gang qui avait aidé le groupe à se remettre sur pied début septembre, expliquait dans un message posté le 17 octobre que « le serveur avait été compromis et qu’ils cherchent à remonter vers moi ». Les autorités avaient en fait remplacé le portail de connexion « officiel » de REvil par une version à eux, leur permettant d’en savoir plus sur les activités du groupe. Inquiet, 0_neday a donc signé son dernier message d’un simple « bonne chance tout le monde, je m’en vais ».

Le message laissé par 0_neday // Source : TheRecord

Cette opération s’inscrit dans un durcissement de la politique américaine face aux gangs de rançongiciels. En juin, après l’attaque contre la branche américaine de JBS (le plus gros vendeur mondial de viande), le président Joe Biden lui-même s’était mêlé de l’affaire en demandant à la Russie d’arrêter de protéger les cybercriminels qui s’en prennent aux entreprises américaines. D’après Tom Kellerman, les attaques de rançongiciels contre les infrastructures américaines sont désormais une problématique de sécurité nationale, similaire au terrorisme.

Crédit photo de la une : Louise Audry pour Numerama

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux