L’opération notoire de ransomware connue sous le nom de REvil (alias Sodin ou Sodinokibi) a repris après six mois d’inactivité, a révélé une analyse de nouveaux échantillons de ransomware.
« L’analyse de ces échantillons indique que le développeur a accès au code source de REvil, ce qui renforce la probabilité que le groupe de menaces ait réapparu », ont déclaré des chercheurs de Secureworks Counter Threat Unit (CTU). mentionné dans un rapport publié lundi.
« L’identification de plusieurs échantillons avec des modifications variables en si peu de temps et l’absence d’une nouvelle version officielle indiquent que REvil est à nouveau en cours de développement intensif. »
REvil, abréviation de Ransomware Evil, est un programme de ransomware-as-a-service (RaaS) et attribué à un groupe basé en Russie connu sous le nom de Or Southfieldapparaissant tout comme GandCrab l’activité décline et ces derniers annoncent leur départ à la retraite.
C’est également l’un des premiers groupes à adopter le système de double extorsion dans lequel les données volées lors d’intrusions sont utilisées pour générer un effet de levier supplémentaire et obliger les victimes à payer.
Opérationnel depuis 2019le groupe de rançongiciels a fait la une des journaux l’année dernière pour ses attaques très médiatisées contre JBS et Kaseya, incitant le gang à fermer officiellement ses portes en octobre 2021 après qu’une action des forces de l’ordre ait détourné son infrastructure de serveur.
Plus tôt en janvier, plusieurs membres appartenant au syndicat de la cybercriminalité ont été arrêtés par le Service fédéral de sécurité (FSB) de Russie à la suite de raids menés dans 25 endroits différents du pays.
La résurgence apparente survient alors que le site de fuite de données de REvil dans le réseau TOR a commencé à rediriger à un nouvel hôte le 20 avril, la société de cybersécurité Avast révélant une semaine plus tard qu’elle avait bloqué un échantillon de ransomware dans la nature « qui ressemble à une nouvelle variante de Sodinokibi / REvil ».
Bien que l’échantillon en question ne crypte pas les fichiers et n’ajoute qu’une extension aléatoire, Secureworks l’a attribué à une erreur de programmation introduite dans la fonctionnalité qui renomme les fichiers en cours de cryptage.
En plus de cela, le nouveau échantillons disséqué par la société de cybersécurité – qui porte un horodatage du 11 mars 2022 – intègre des modifications notables du code source qui le distinguent d’un autre artefact REvil daté d’octobre 2021.
Cela inclut les mises à jour de sa logique de déchiffrement de chaîne, l’emplacement de stockage de la configuration et les clés publiques codées en dur. Les domaines Tor affichés dans la note de rançon ont également été révisés, faisant référence aux mêmes sites qui ont été mis en ligne le mois dernier –
- Site de fuite REvil : blogxxu75w63ujqarv476otld7cyjkq4yoswzt4ijadkjwvg3vrvd5yd[.]oignon
- Site de paiement de rançon REvil : landxxeaf2hoyl2jvcwuazypt6imcsbmhb7kx3x33yhparvtmkatpaad[.]oignon
La renaissance de REvil est également probablement liée à l’invasion en cours de l’Ukraine par la Russie, à la suite de laquelle les États-Unis se sont retirés d’un coopération conjointe proposée entre les deux pays pour sauvegarder les infrastructures critiques.
Au contraire, le développement est un autre signe que les acteurs du ransomware se dissolvent uniquement pour se regrouper et se rebaptiser sous un nom différent et reprendre là où ils se sont arrêtés, soulignant la difficulté d’éradiquer complètement les groupes cybercriminels.