Les chercheurs en sécurité de Bitdefender déclarent qu’ils permettront à toutes les victimes d’attaques avec des chevaux de Troie de cryptage du groupe REvil alias Sodinokibi avant le 13 juillet de récupérer leurs données avec un nouvel outil de décryptage universel et de les rendre ainsi à nouveau disponibles. Les experts ont mis au point cet outil gratuit en coopération avec un « partenaire reconnu des services répressifs », qu’ils ne souhaitent pas nommer pour l’instant en raison des enquêtes en cours.
Le « REvil Decryptor » est maintenant disponible en téléchargement gratuit. Les chercheurs ont également publié un guide étape par étape sur la façon d’utiliser l’outil. Les partenaires de développement ont apparemment rencontré des erreurs dans le chiffrement du ransomware. Ils ont publié le décrypteur alors que l’enquête de police était toujours en cours « pour aider autant de victimes que possible ». Ils ne divulguent pas d’autres détails sur les enquêtes en cours pour le moment.
Sommaire
REvil est hors ligne
Après la cyberattaque contre l’opérateur du Colonial Pipeline aux États-Unis en mai, les bandes d’extorsion en ligne basées en Russie, telles que REvil et DarkSide, ont initialement déclaré qu’elles n’attaqueraient plus les organisations du « secteur social », telles que les institutions de santé et d’éducation, et qu’elles ne s’attaqueraient généralement plus à l’infrastructure de l’administration publique d’un pays. Puis, à la mi-juillet, l’infrastructure de REvil a d’abord été partiellement mise hors ligne. Les victimes du gang qui n’avaient pas payé de rançon à ce moment-là n’ont pas pu récupérer leurs données cryptées.
Le groupe REvil est apparu en 2019 comme le successeur du désormais défunt gang GandCrab. Il est considéré comme l’une des forges de ransomware les plus actives sur le dark web. Ces dernières années, les membres du programme de partenariat REvil ont ciblé des milliers d’entreprises informatiques, de fournisseurs de services et de détaillants dans le monde entier. Après avoir réussi à crypter les données d’une entreprise, ils ont exigé des rançons élevées, allant jusqu’à 70 millions de dollars américains, en échange d’une clé de décryptage et d’une garantie que les données internes capturées pendant l’attaque ne seraient pas rendues publiques.
De nouvelles attaques sont attendues
Bitdefender pense que de nouvelles attaques REvil sont imminentes. Les serveurs et l’infrastructure de soutien du gang des ransomwares ont récemment été remis en ligne dans une nouvelle configuration après une période de dormance de deux mois. Certains des actifs informatiques précédents auraient été compromis par des parties inconnues. Cependant, les raids risquent de recommencer.
Les chercheurs en sécurité conseillent vivement aux organisations de « rester en alerte et de prendre les précautions nécessaires ». En janvier, Bitdefender avait déjà publié un outil de décryptage gratuit qui était censé fonctionner contre toutes les versions de Darkside à l’époque. Les observateurs supposent qu’il existe des liens étroits entre les membres principaux de DarkSide et REvil.
[axk)