Le groupe de ransomware russe REvil, qui est derrière certaines des plus grandes cyberattaques récentes, a disparu d’Internet. Selon plusieurs médias comme Reuters ou le Washington Post, les sites Web du groupe ont fermé leurs portes mardi. Tous les sites qui lui permettaient de faire sa promotion, de rentrer en négociation avec ses victimes et de proposer des outils de déchiffrement, ne sont plus disponibles à l’heure actuelle. Seul un message indiquant « serveur avec le nom d’hôte spécifié introuvable » apparaît désormais.

REvil est un groupe de cybercriminalité russe connu pour ses multiples attaques par rançongiciel, dont le dernier a touché près de 1500 entreprises utilisant le logiciel de gestion de Kaseya. Une affaire qui a fait les gros titres puisque ce sont 70 millions de dollars qui ont été demandés par les cybercriminels pour restaurer les données volées. Avant cela, le groupe avait procédé à d’autres attaques contre Acer, Quanta Computer ou encore le producteur de viande JBS qui avait alors accepté de payer 11 millions de dollars de rançon.

Pourquoi et comment REvil a-t-il disparu ?

La panne touchant REvil a fait naître bon nombre de spéculations. En effet, cet événement coïncide avec le moment où Joe Biden s’est entretenu au téléphone avec Vladimir Poutine. Le président américain a tenté de convaincre son homologue russe de prendre des mesures contre les groupes cybercriminels qui opèrent dans le pays, tout en le mettant en garde sur le fait que les Etats-Unis n’hésiteraient pas à prendre des mesures pour défendre leurs infrastructures.

Biden ayant déclaré que « les États-Unis prendront toute action nécessaire à la défense de son peuple et de ses infrastructures critiques », de nombreux experts penchent ainsi vers un démantèlement du groupe par le pays de l’Oncle Sam. D’ailleurs, quelques jours plus tôt, une porte-parole de la Maison-Blanche menaçait d’une intervention américaine sur le territoire russe « si le gouvernement russe ne le peut pas ou ne le fait pas ».

Néanmoins, les actes de disparition sont monnaie courante dans le monde du ransomware, et il n’est pas impossible que le groupe ait préféré se faire discret en mettant hors ligne ses propres sites web par peur d’une surveillance accrue des Etats-Unis. L’après-midi suivant la disparition, un représentant de LockBit, un groupe concurrent de REvil, a déclaré sur le forum russe XXS, qui est utilisé par bon nombre de cybercriminels, que « sur la base d’informations non corroborées, l’infrastructure de REvil a reçu une requête légale de la part du gouvernement, ce qui a forcé REvil à complètement effacer ses serveurs et à disparaître. Cependant, ce n’est pas confirmé. ».

Contre-attaque des Etats-Unis ou bien mise en sommeil programmée de la part du groupe, la disparition de REvil risque néanmoins d’être préjudiciable aux entreprises durement touchées par la dernière attaque du groupe et n’ayant donc plus de moyen à court terme de récupérer leurs données via la négociation de rançons.