La semaine dernière, le groupe de ransomware REvil se faisait pirater. La compromission de son infrastructure obligeait le groupe à passer hors ligne. On pensait à la vengeance d’un affilié mécontent mais, à en croire Reuters, il s’agit d’une opération menée par plusieurs Etats.
La semaine, on apprenait de Dmitry Smilyanets, chercheur en sécurité de Recorded Future, que Revil avait été mis hors service. Non pas que le ransomware brillait par son efficacité. Après avoir frappé Kaseya, le groupe s’était fait discret. Et pour cause ! L’un de ses membres avaient mystérieusement disparu. De retour en septembre, voici donc le ransomware de nouveau mis à terre.
On pouvait penser que la compromission de certaines infrastructures de REvil était le fait de quelque affilié énervé par les tentatives du gang de doubler ses partenaires. Mais, selon Reuters, il n’en est rien. Ce serait une opération conjointe des forces de l’ordre de plusieurs Etats qui aurait mis le ransomware hors d’état de nuire.
Qui a tué REvil ?
Et on utilisera le conditionnel ici, puisque Reuters ne cite pas de source directe : le FBI n’a pas commenté, ni aucune autre agence. On tient donc cette information de plusieurs experts du secteur privé travaillant avec les autorités américaines. Parmi eux, Tom Kellermann, responsable de la stratégie de cybersécurité de VMWare, assure que ce sont bien les forces de l’ordre qui ont frappé REvil.
« Le FBI, en collaboration avec le Cyber Command, les services secrets et des pays partageant les mêmes idées, se sont véritablement engagés dans des actions perturbatrices importantes contre ces groupes » explique-t-il. Or REvil se trouvait en haut de la « hit list », et on sait que le FBI prévoyait une opération contre ce ransomware cet été, opération annulée après que le groupe ait mis son infra hors ligne.
Rien ne permet donc d’assurer avec certitude que ce soit bien le FBI qui ait compromis le site vitrine et le portail de paiements de REvil, bien qu’il y ait un faisceau concordant d’indices. A commencer par l’obtention par l’agence fédérale des clés de déchiffrement de REvil début juillet. Une date qui coïncide avec la mystérieuse disparition d’un membre de REvil. Celui-ci se sera-t-il rendu, fournissant contre remise de peine l’accès à l’infrastructure du ransomware ?