L’op\u00e9ration notoire de ransomware connue sous le nom de REvil (alias Sodin ou Sodinokibi) a repris apr\u00e8s six mois d’inactivit\u00e9, a r\u00e9v\u00e9l\u00e9 une analyse de nouveaux \u00e9chantillons de ransomware.<\/p>\n
“L’analyse de ces \u00e9chantillons indique que le d\u00e9veloppeur a acc\u00e8s au code source de REvil, ce qui renforce la probabilit\u00e9 que le groupe de menaces ait r\u00e9apparu”, ont d\u00e9clar\u00e9 des chercheurs de Secureworks Counter Threat Unit (CTU). mentionn\u00e9<\/a> dans un rapport publi\u00e9 lundi.<\/p>\n “L’identification de plusieurs \u00e9chantillons avec des modifications variables en si peu de temps et l’absence d’une nouvelle version officielle indiquent que REvil est \u00e0 nouveau en cours de d\u00e9veloppement intensif.”<\/p>\n REvil, abr\u00e9viation de Ransomware Evil, est un programme de ransomware-as-a-service (RaaS) et attribu\u00e9 \u00e0 un groupe bas\u00e9 en Russie connu sous le nom de Or Southfield<\/a>apparaissant tout comme GandCrab<\/a> l’activit\u00e9 d\u00e9cline et ces derniers annoncent leur d\u00e9part \u00e0 la retraite.<\/p>\n C’est \u00e9galement l’un des premiers groupes \u00e0 adopter le syst\u00e8me de double extorsion dans lequel les donn\u00e9es vol\u00e9es lors d’intrusions sont utilis\u00e9es pour g\u00e9n\u00e9rer un effet de levier suppl\u00e9mentaire et obliger les victimes \u00e0 payer. <\/p>\n Op\u00e9rationnel depuis 2019<\/a>le groupe de ran\u00e7ongiciels a fait la une des journaux l’ann\u00e9e derni\u00e8re pour ses attaques tr\u00e8s m\u00e9diatis\u00e9es contre JBS et Kaseya, incitant le gang \u00e0 fermer officiellement ses portes en octobre 2021 apr\u00e8s qu’une action des forces de l’ordre ait d\u00e9tourn\u00e9 son infrastructure de serveur.<\/p>\n Plus t\u00f4t en janvier, plusieurs membres appartenant au syndicat de la cybercriminalit\u00e9 ont \u00e9t\u00e9 arr\u00eat\u00e9s par le Service f\u00e9d\u00e9ral de s\u00e9curit\u00e9 (FSB) de Russie \u00e0 la suite de raids men\u00e9s dans 25 endroits diff\u00e9rents du pays.<\/p>\n La r\u00e9surgence apparente survient alors que le site de fuite de donn\u00e9es de REvil dans le r\u00e9seau TOR a commenc\u00e9 \u00e0 rediriger<\/a> \u00e0 un nouvel h\u00f4te le 20 avril, la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Avast r\u00e9v\u00e9lant une semaine plus tard qu’elle avait bloqu\u00e9<\/a> un \u00e9chantillon de ransomware dans la nature “qui ressemble \u00e0 une nouvelle variante de Sodinokibi \/ REvil”.<\/p>\n Bien que l’\u00e9chantillon en question ne crypte pas les fichiers et n’ajoute qu’une extension al\u00e9atoire, Secureworks l’a attribu\u00e9 \u00e0 une erreur de programmation introduite dans la fonctionnalit\u00e9 qui renomme les fichiers en cours de cryptage.<\/p>\n En plus de cela, le nouveau \u00e9chantillons<\/a> diss\u00e9qu\u00e9 par la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 \u2013 qui porte un horodatage du 11 mars 2022 \u2013 int\u00e8gre des modifications notables du code source qui le distinguent d’un autre artefact REvil dat\u00e9 d’octobre 2021.<\/p>\n Cela inclut les mises \u00e0 jour de sa logique de d\u00e9chiffrement de cha\u00eene, l’emplacement de stockage de la configuration et les cl\u00e9s publiques cod\u00e9es en dur. Les domaines Tor affich\u00e9s dans la note de ran\u00e7on ont \u00e9galement \u00e9t\u00e9 r\u00e9vis\u00e9s, faisant r\u00e9f\u00e9rence aux m\u00eames sites qui ont \u00e9t\u00e9 mis en ligne le mois dernier –<\/p>\n La renaissance de REvil est \u00e9galement probablement li\u00e9e \u00e0 l’invasion en cours de l’Ukraine par la Russie, \u00e0 la suite de laquelle les \u00c9tats-Unis se sont retir\u00e9s d’un coop\u00e9ration conjointe propos\u00e9e<\/a> entre les deux pays pour sauvegarder les infrastructures critiques.<\/p>\n Au contraire, le d\u00e9veloppement est un autre signe que les acteurs du ransomware se dissolvent uniquement pour se regrouper et se rebaptiser sous un nom diff\u00e9rent et reprendre l\u00e0 o\u00f9 ils se sont arr\u00eat\u00e9s, soulignant la difficult\u00e9 d’\u00e9radiquer compl\u00e8tement les groupes cybercriminels.<\/p>\n <\/p>\n<\/div>\n\n