Des chercheurs en sécurité suggèrent que le cybergang REvil est de nouveau opérationnel et aurait fait deux nouvelles victimes.
Suite à une enquête menée conjointement avec les Etats-Unis, le bureau de renseignement russe FSB avait annoncé en janvier dernier dans un communiqué que le groupe de hackers REvil avait « cessé d'exister et l'infrastructure informatique utilisée à des fins criminelles (avait) été neutralisée ». Problème, lorsque l’on coupe la tête d’une hydre, celle-ci a une fâcheuse tendance à repousser. Trois mois plus tard, des preuves semblent montrer que le groupe de pirates spécialisé dans les rançongiciels serait de retour.
Deux nouvelles victimes potentielles
En effet, des chercheurs en sécurité dont, Soufiane Tahiri, ont repéré une activité suspecte. Un site baptisé Happy Blog a été mis en avant sur le forum d’une place de marché russophone : RuTOR. Ledit site mène tout droit à la page que REvil utilisait sur le darkweb pour publier des informations sur ses cibles. Et surprise, la liste a été mise à jour et compte deux nouveaux noms. Le premier, Oil India, a confirmé avoir été visée par un rançongiciel le 10 avril dernier. Le groupe derrière l’attaque exigeait 7,9 millions de dollars. La deuxième victime présumée est Visotec Group.
Interrogé par le média SiliconAngle, John Hammond, chercheur en sécurité chez Huntress Labs explique que « historiquement, il s'agissait du site de leak d'un gang des ransomwares, où ils publiaient les données de leurs victimes qui avaient refusé de payer la rançon, mais pendant un certain temps, le site était hors ligne et REvil semblait avoir disparu d'Internet. La page "Rejoignez-nous" suggère que de nouveaux travaux peuvent être effectués avec le même logiciel éprouvé indiquant qu'il pourrait s'agir d'une résurgence de REvil ».
Regain d’activité ou imitateur ?
C'est là l'autre preuve d’un regain d’activité. Cette page de recrutement fournit des détails concernant les conditions pour obtenir une version améliorée de REvil et sur une répartition à 80/20 du montant des rançons. A noter que c’est ce procédé même qui faisait alors la force de REvil. Le groupe avait pour habitude de louer ses logiciels malveillants à des affiliés.
Alors, REvil ou pas REvil ? Si les signes sont là, il peut tout aussi bien s’agir d’autres pirates se servant de la notoriété du gang démantelé par le FSB, pour faire prospérer leur affaire. D’après un autre média, Bleeping Computer, certaines chaines du code de Happy Blog désignent d’autres groupes de rançongiciels comme Corp Links et TelsaCrypt.