attaques ransomware

Dark Web : le groupe de hackers REvil abandonne les ransomwares

Les sites web de REvil, un gang de hackers liés à la Russie, accusé d’attaques de ransomware contre des centaines d’entreprises dans le monde, sont hors ligne. La raison de la suppression des sites reste inconnue, mais suscite des spéculations selon lesquelles le groupe pourrait avoir été pris pour cible par les autorités. Il aurait également pu abandonner délibérément le navire.

Des représailles numériques contre la Russie ?

La disparition des sites survient au milieu d’une pression croissante entre les États-Unis et la Russie au sujet de la cybercriminalité. Le président américain Joe Biden a déclaré avoir soulevé la question avec Vladimir Poutine lors d’un appel téléphonique, après avoir discuté du sujet lors d’un sommet avec le président russe à Genève le mois dernier. Biden a rappelé aux journalistes qu’il avait clairement fait comprendre à Poutine qu’il devait prendre des mesures. Autrement, les États-Unis risquent de lancer des représailles numériques directes sur les serveurs utilisés pour les intrusions.

Un responsable du Conseil de sécurité nationale a déclaré aux journalistes que les autorités américaines prendraient bientôt des mesures contre les groupes de ransomware, en soulignant qu’aucun détail des actions prévues ne sera révélé. Il ajoute néanmoins que certaines des opérations seront manifestes et visibles, d’autres pas. Mais cela surviendrait probablement dans les jours et les semaines à venir. Cette panne a effectivement suscité des spéculations selon lesquelles les responsables américains ou russes pourraient avoir pris des mesures contre REvil. Néanmoins, les cyberexperts affirment que les disparitions soudaines et intentionnelles de groupes ne sont pas si rares.

REvil : un retrait planifié et simultané de son infrastructure

Top 5 des meilleurs antimalwares

La disparition des sites publics affiliés à REvil, également connu sous le nom de Sodinokibi, fait suite à une série d’attaques internationales de ransomware survenue le 2 juillet dont le groupe s’était attribué le mérite. Selon John Hultquist de Mandiant Threat Intelligence, les preuves suggèrent que REvil a subi un retrait planifié et simultané de son infrastructure, soit par les opérateurs eux-mêmes, soit via l’industrie ou des mesures d’application de la loi. Il ajoute que s’il s’agissait d’une opération de perturbation quelconque, les détails pourraient ne jamais être révélés. 

Les sites darknet (.onion) et clearnet (decoder.re) de REvil sont hors ligne. Et bien qu’il n’y ait aucune visibilité sur la manière exacte dont leurs sites darknet ont été supprimés, le domaine de leur site clearnet a simplement cessé de se résoudre en une adresse IP, mais les serveurs sont toujours en ligne. En plus de l’attaque du 2 juillet, le groupe REvil aurait également récemment attaqué JBS Food qui a payé l’équivalent de 11 millions de dollars de rançon pour retrouver le contrôle de son système informatique. Plus tôt ce mois-ci, Kaseya, le fournisseur de logiciels basé en Floride a aussi été victime d’une attaque de ransomware. Cela s’est propagé à au moins six pays européens et a violé les réseaux de milliers de personnes à travers les États-Unis.