Qui est REvil, le gang de pirates derrière l’attaque de Kaseya et bien d’autres ?

Veille cyber ransomware

Le groupe REvil, également appelé Sodinokibi ou Sodin, est un gang de ransomware-as-a-service (RaaS), ou ransomware sur abonnement, actif depuis 2018. Il a été parmi les premiers cybercriminels à pratiquer l’attaque au ransomware doublé d’un vol de données en parallèle.

La multinationale indienne de la sidérurgie Tata Steel, le fabricant d’électronique Asteelflash, l’important fournisseur taïwanais d’ordinateurs portables et autres smartphones Quanta, le géant de l’agroalimentaire JBS, le groupe pharmaceutique et cosmétique Pierre Fabre… que de noms cités par la presse comme victimes de ce groupe de pirates, adepte du RaaS. Et depuis vendredi, les équipes de sécurité du monde entier ont fort à faire pour contrer ses attaques ciblant le fabricant de logiciels de gestion informatique Kaseya et ses clients.

L’unité de recherches/analyse de Palo Alto Networks, l’Unit 42, dit bien connaître ce groupe qu’elle suit depuis trois ans. Les chercheurs du spécialiste en cybersécurité indiquent avoir répondu à plus d’une douzaine de cas impliquant REvil. « Cela en fait l’un des groupes de ransomware les plus prolifiques que nous ayons rencontrés. »

De la publicité malveillante au RaaS

L’Unit42 et ses experts l’ont découvert pour la première fois en 2018 alors qu’il travaillait avec un groupe connu sous le nom de « GandCrab » qui n’était pas impliqué dans les ransomwares. Ils étaient principalement axés « sur les kits de publicité malveillante et d’exploitation, que les pirates utilisent pour infecter les victimes via des téléchargements lorsqu’ils visitent un site Web malveillant. »

Ce groupe s’est ensuite transformé en REvil, s’est développé et a acquis la réputation de voler des quantités massives de données et d’exiger des rançons de plusieurs millions de dollars. Il est maintenant l’un des fournisseurs les plus importants de ransomware en tant que service, ou RaaS. « Il fournit aux clients (connus sous le nom d’affiliés) des outils adaptables pour le cryptage et le décryptage, une infrastructure d’attaque et des services pour les communications de négociation. Pour ces services, REvil perçoit un pourcentage des paiements de rançon », expliquent-ils.
Trend Micro précise que « le service est vendu à un faible nombre d’affiliés non-anglophones, par le biais de quelques forums cybercriminels russophones. Ces affiliés sont triés notamment en fonction de leur capacité à compromettre des réseaux d’entreprise et les infecter. »

Dans l’attaque la plus récente sur Kaseya, REvil a infecté le fournisseur de logiciel de gestion informatique pour les fournisseurs de services managés (MSP), « ce qui a eu pour effet d’affecter de nombreuses entreprises à travers le monde. Les attaquants ont déployé une charge utile malveillante via un script PowerShell qui, à son tour, a été vraisemblablement exécuté via le logiciel du fournisseur MSP », explique Kaspersky. « Le script a désactivé les fonctionnalités de la protection Microsoft Defender for Endpoint et a ensuite décodé un exécutable malveillant qui comportait un système binaire Microsoft légitime, une ancienne version de la solution Microsoft Defender et une librairie malveillante contenant le ransomware REvil. En utilisant cette combinaison de composantes dans la machine, les attaquants ont été capables d’exploiter la technique DLL side-loading et d’attaquer un grand nombre d’organisations. »

Des demandes de rançons en millions de dollars…

Comme la plupart des opérateurs de ransomware, REvil utilise deux approches pour persuader les victimes de payer : ils chiffrent les données afin que les organisations ne puissent pas accéder aux informations, utiliser des systèmes informatiques critiques ou restaurer à partir de sauvegardes. Ils volent également des données et menacent de les publier sur leur site de fuite (une tactique connue sous le nom de double extorsion).

Quelles sommes réclament ces pirates ? « Le paiement moyen que nous avons observé dans les affaires REvil cette année était d’environ 2,25 millions de dollars. La plus grande rançon connue qu’il a prise était de 11 millions de dollars à la suite d’une attaque très médiatisée contre la plus grande entreprise d’emballage de viande au monde qui a fermé des usines de transformation », dit l’unit 42. Ses chercheurs précisent que le groupe est néanmoins ouvert à la négociation de paiements inférieurs. « Après l’attaque de vendredi sur Kaseya VSA, il a exigé 70 millions de dollars pour un outil permettant de décrypter tous les fichiers concernés. Lundi, il a réduit cette demande à 50 millions de dollars. Mais lorsque les victimes ne parviennent pas à entrer dans les négociations ou à payer, REvil publie des données volées sur son site de fuite, qu’il appelle « Happy Blog » », indiquent-ils.
Fin mai, JBS a indiqué avoir payé 11 millions de dollars, récupérés en partie par les autorités américaines…
Kaspersky indique dans un billet de blog que « selon une interview de REvil, le gang a gagné plus de 100 millions de dollars via ses opérations en 2020.« 

Source : Qui est REvil, le gang de pirates derrière l’attaque de Kaseya et bien d’autres ?