REvil

rançongiciel

REvil, connu aussi sous le nom de Sodinokibi, est un logiciel malveillant de type rançongiciel et par extension le groupe de hackeurs qui en est à l'origine.

REvil

Informations
Première version [1]Voir et modifier les données sur Wikidata
Système d'exploitation Microsoft WindowsVoir et modifier les données sur Wikidata

Son nom est un mot-valise, résultat de la contraction de Ransomware et de Evil. Le modèle économique est celui du Ransomware as a service (RaaS) ou « rançongiciel en location ».

Présentation

modifier

Il est apparu pour la première fois en avril 2019. Il pourrait être opéré par l'ancien groupe GrandCrab, dont la disparition coïncide avec cette date. Selon IBM Security X-Force, au cours de l'année 2020, REvil / Sodinokibi est le rançongiciel le plus souvent impliqué dans des attaques[2]. Celles-ci consistent non seulement à chiffrer les données que la victime ne peut recouvrer que contre une rançon, mais en plus, les cybercriminels exercent un chantage à la diffusion de ces données.

Parmi les victimes de ces extorsions, on compte le groupe pharmaceutique Pierre Fabre[3], probablement la société d'informatique taïwanaise Acer[4] et le fabricant d'ordinateurs portables Quanta. Cette dernière compte parmi ses clients la société Apple, que les opérateurs essaient d'extorquer[5].

En mai 2021, la cyberattaque de Colonial Pipeline aux États-Unis est attribuée au groupe Darkside[6], soupçonné d'être affilié à REvil.

L'attaque contre le groupe agro-alimentaire JBS en 2021 a été attribuée par le FBI au groupe russe REvil/Sodinokibi[7].

Début juillet 2021, l'attaque contre la société Kaseya, attribuée au groupe REvil, a été décrite comme particulièrement sophistiquée[8].

Le vecteur d'infection principal est un courriel d'hameçonnage (phishing) qui invite à télécharger un fichier compressé[9], mais d'autres techniques ont été utilisées (ainsi en juin 2021 une vulnérabilité de logiciels de la société Kaseya)[10].

Plusieurs éléments indiquent une origine russe de ce logiciel malveillant : le programme a pour instruction de suspendre son activité s'il détecte que la langue du système est le russe[11], et il est en vente sur des forums russophones[12]. Le gouvernement américain ayant mis en demeure le président russe Vladimir Poutine de faire cesser ces cyberattaques, l'activité de REvil a aussitôt été suspendue, ce qui accrédite encore un peu plus l'implication de cybercriminels russes[13].

En octobre 2021, les activités du groupe semblent avoir été compromises de façon décisive à la suite d'une opération internationale[14].

Le FSB annonce en janvier 2022 avoir démantelé le réseau[15].

Des chercheurs en sécurité ont trouvé en octobre 2022 des concordances dans le code source du malware d'encryptage utilisé par Revil et celui utilisé par un nouveau groupe de hackers baptisé Ransom Cartel. Il y a aussi des similarités dans les procédures utilisées par le nouveau groupe. Les chercheurs en sécurité en ont conclu qu'il s'agit d'une possible renaissance du groupe Revil sous un autre nom avec une partie des membres du groupe initial[16].

En juin 2023, une coalition de plusieurs groupes de hackers pro-russes (REvil, Killnet et Anonymous Sudan) annonce une attaque imminente contre le système Swift. Certains analystes penchent pour un coup de com plutôt que comme étant une véritable menace. Le fait que le groupe Revil réapparaisse sur le devant de la scène est troublant dans la mesure où il a été officiellement démantelé[17],[18].

Références

modifier
  1. « https://www.lemondeinformatique.fr/actualites/lire-revil-decryptage-du-plus-terrible-des-ransomware-81071.html »
  2. Lucian Constantin, « REvil : décryptage du plus terrible des ransomwares », Le Monde informatique,‎ (lire en ligne)
  3. Louis Adam, « Pierre Fabre : Le groupe Revil revendique l’attaque », sur ZDnet, (consulté le )
  4. Damien Bancal, « Le géant de l’informatique ACER aux prises avec des pirates informatiques », sur ZATAZ, (consulté le )
  5. Damien Bancal, « Sodinokibi propose à APPLE de lui racheter des informations volées concernant ses prochains ordinateurs », sur ZATAZ, (consulté le )
  6. « Colonial Pipeline, géant américain des oléoducs, toujours en partie paralysé par une cyberattaque », sur France 24, (consulté le )
  7. François Manens, « Après l’attaque de trop, les USA partent à la chasse d’un des plus gros gangs rançongiciel », Numerama,‎ (lire en ligne)
  8. « Comment des pirates ont paralysé en quelques heures des centaines d’entreprises dans le monde », Le Monde.fr,‎ (lire en ligne, consulté le )
  9. « Une analyse de Sodinikibi: Le ransomware as a service persistant », sur Panda Security, (consulté le )
  10. Florian Reynaud, « Comment des pirates ont paralysé des centaines d’entreprises dans le monde en quelques heures », Le Monde.fr,‎ (lire en ligne, consulté le )
  11. Denis Legazo, « Attaque REvil sur Apple - Commentaire de Kaspersky », sur Glabal Security Mag, (consulté le )
  12. ANSSI, État de la menace rançongiciel, (lire en ligne), p. 26
  13. « Le gang des ransomwares REvil disparaît du Web après l'avertissement de Joe Biden », sur Developpez.com, (consulté le )
  14. Edward Back, « Le gang de hackers REvil a été mis hors d’état de nuire », sur Futura (consulté le )
  15. Fin de partie pour REvil, célèbre groupe cybercriminel spécialisé dans le ransomware, 01.net, 14 janvier 2022, Gilbert Kallenborn
  16. (en) Bill Toulas, « Ransom Cartel linked to notorious REvil ransomware operation », Bleeping Computer, (consulté le )
  17. Théo Janvier, « Une coalition de cybercriminels russes menace de paralyser le système bancaire occidental »  , Journal du Net, (consulté le )
  18. Noa Jacquet, « Faire tomber le système bancaire européen, le nouveau coup de bluff des hackers pro-Russes »  , La Tribune, (consulté le )

Annexes

modifier

Articles connexes

modifier