Ransomware : Après une courte pause, le groupe REvil refait surface

Les pirates du groupe de ransomware REvil ont refait surface après avoir été temporairement fermés après une attaque généralisée de Kaseya qui a frappé des milliers de “victimes” le 4 juillet. Les chercheurs en sécurité ont déjà découvert que les sites Web sombres du groupe prolifique de ransomware, y compris les sites de paiement, les sites publics de groupe, les chats du service d’assistance et les portails commerciaux, sont tous hors ligne. Une grave menace de la part des législateurs américains.

Après l’attaque, le président américain Joe Biden a eu une discussion personnelle avec le président russe Vladimir Poutine. De nombreux experts ont attribué la fermeture de REvil à cette conversation, et le président américain a exhorté les répondants russes à attaquer le ransomware russe. Malgré cette conversation, les responsables américains et russes ont nié toute implication dans la disparition de REvil en juillet.

Pourtant, des dizaines de chercheurs en sécurité ont signalé qu’un groupe de plateformes appelé Happy Blog a refait surface. Le site Bleeping Computer rapporte que la dernière entrée sur le site provient d’une victime qui a été attaquée le 8 juillet. Les chercheurs en sécurité de Recorded Future et d’Emsisoft ont tous deux confirmé qu’une grande partie de l’infrastructure du groupe était de nouveau en ligne.

“Situation tendue”

“Pendant un moment la situation était tendue. Il fallait calmer les forces de l’ordre. Le problème, c’est que si vous êtes dans le même groupe et utilisez la même infrastructure, vous n’êtes pas vraiment loin de la police. Ou, à l’exception de les autorités russes, les chercheurs reviennent au point de vue des autorités », explique Allan Liska, un expert en ransomware interrogé par ZDNet.

“J’ai vérifié tous les référentiels de code habituels tels que VirusTotal et Malware Bazaar, mais je n’ai pas encore trouvé de nouveaux échantillons publiés. Donc, si vous lancez une nouvelle attaque de ransomware, il n’y a rien. Pas grand-chose. Je l’ai fait “, a déclaré ce dernier. Pour rappel, plus de 23% des attaques suivies le mois dernier étaient REvil, selon un rapport de la société de sécurité BlackFog sur les attaques de ransomware en août. C’est plus que tout autre groupe interrogé dans le rapport.

Selon Brett Callow, analyste des menaces chez Emsisoft, REvil a attaqué au moins 360 organisations basées aux États-Unis cette année. Selon le site de recherche RansomWhere, le groupe a généré plus de 11 millions de dollars de revenus cette année dans des attaques très médiatisées contre Acer, JBS, Quanta Computer et autres.

Piratage clé en main

La fermeture de REvil en juillet a laissé certaines victimes dans une situation désespérée. Mike Hamilton, ancien directeur de l’information (CISO) et actuel directeur de l’information (CISO) de la société de réparation de ransomware Critical Insight, a déclaré que la société avait payé la rançon après l’attaque de Kaseya et avait reçu une clé de déchiffrement de REvil. .

REvil fournit généralement des lignes d’assistance pour aider les victimes à récupérer leurs données. “Certains clients ont résolu le problème très facilement. Si cet agent était installé sur un ordinateur non critique, il suffirait de reconstruire et de revenir au top. Mais il y a quelques jours, une entreprise m’a affligé. Le signal est arrivé. C’était un coup dur car certaines entreprises exploitaient de nombreux serveurs utilisant l’ASV de Kaseya. Ils ont décidé d’appeler la compagnie d’assurance et d’en payer le prix. ” dit Mike Hamilton.

« Quand ils ont obtenu la clé de déchiffrement et ont commencé à l’utiliser, ils se sont rendu compte que cela fonctionnait à certains endroits et pas à d’autres. Ces gangs de ransomware ont un support client. , ces gens sont simplement bloqués. Ils perdent beaucoup de données et perdent des données Vous dépenserez beaucoup d’argent pour le reconstruire complètement. Reconstruisez votre réseau à partir de zéro. “

Source : https://francenewslive.com/