REvil est hors ligne. D’après Reuters, le groupe criminel a été la cible d’une cyberattaque des autorités américaines la semaine du 18 octobre. Il s’agissait de l’un des gangs spécialisés dans les rançongiciels les plus recherchés.

Tel est pris qui croyait prendre

Le groupe, ou ses affiliés, affiche un palmarès à faire frémir tout expert en cybersécurité : Le logiciel de cryptage DarkSide, développé par des associés de REvil a été utilisé pour le piratage de Colonial Pipeline en mai 2021. Le géant de la viande JBS aurait été la cible directe du groupe le même mois. Il serait également à l’origine de l’attaque massive de Kaseya, en juillet.

L’opération de trop pour REvil. Le 13 juillet le groupe disparaît subitement. Il aurait été la cible d’une attaque d’un allié des États-Unis. Son administrateur, UNKN, « l’inconnu » serait parti avec la caisse sans payer les affiliés du groupe et aurait fermé les serveurs.

Le groupe a engagé sa renaissance en septembre 2021. Un nouvel administrateur, 0_neday a utilisé des sauvegardes pour reconstruire REvil. Une erreur, certaines ont été corrompues par les autorités, des systèmes étaient contrôlés par elle. Oleg Skulkin, directeur adjoint du laboratoire de criminalistique de la société de sécurité Group-IB, s’en amuse, « Ironiquement, la tactique favorite du gang, qui consistait à compromettre les sauvegardes, s'est retournée contre lui ».

Résultat, mi-octobre, le site du groupe, « Happy blog » est de nouveau mis hors ligne. Il était utilisé pour divulguer les données des victimes, faciliter l’extorsion aux entreprises. Sur un forum fréquenté par des cybercriminels, 0_neday a publié un message ou il rapporte « Le serveur a été compromis, et ils me cherchaient ». Il explique que les responsables de l’attaque ont tenté de l’attirer dans un piège pour l’identifier.

Message sur un forum

Impression d'écran récupérée par The Record.

Tom Kellermann, responsable de la stratégie de cybersécurité de VMWare a expliqué que « Le FBI, en collaboration avec le Cyber Command, les services secrets et des pays partageant les mêmes idées, a véritablement mené des actions perturbatrices importantes contre ces groupes ».

La fin de REvil ne signe pas la fin des rançongiciels, loin de là

Le porte-parole du Conseil de sécurité de la Maison-Blanche a refusé de commenter l’opération, mais a confirmé l’action des États-Unis contre des groupes derrière les rançongiciels tel que REvil. Le FBI a également refusé de commenter. Un ancien fonctionnaire américain a déclaré à Reuters que l’opération serait toujours en cours.

Cette réussite ne sera peut-être qu’une goutte d’eau dans la lutte contre le fléau rançongiciel. Après tout, REvil n’était déjà plus que l’ombre de lui-même, personne n’a été arrêté… Cela reste un signe très encourageant. Depuis Colonial Pipeline le problème des rançongiciels est traité au même niveau que la menace terroriste. Un sommet mondial est en cours pour aborder cette problématique. Sommet auquel la France, victime comme la plupart des pays occidentaux, participe.