Le groupe d’extorsion REvil a été lui-même piraté dans le cadre d’une opération transnationale des forces de l’ordre et s’est donc à nouveau mis hors ligne. Cette information est rapportée par l’agence de presse Reuters et explique probablement pourquoi le groupe a disparu de la scène une fois de plus cette semaine. Selon le rapport, le FBI, ainsi que d’autres autorités de sécurité américaines et des organisations d’autres pays, ont réussi à compromettre les sauvegardes du groupe REvil, retournant ainsi une tactique des cybercriminels contre eux. Une approche plus agressive de la part des acteurs étatiques est donc également responsable de ce succès.

Une bataille permanente avec les services de renseignement

Reuters a fondé son rapport sur les déclarations de trois experts en cybersécurité, dont certains ont été nommés, notamment des sociétés VMWare et Group-IB, ainsi que d’un ancien fonctionnaire anonyme. Selon le rapport, ils ont déclaré qu’un État ami avait réussi à pirater l’infrastructure de REvil au cours de la réponse à l’attaque de Kaseya. Au moins certains des serveurs des attaquants ont été pris en main et les sauvegardes ont été infectées. REvil s’était alors soudainement mis hors ligne, mais avait fait un rapport à l’aide des sauvegardes, sans savoir que les forces de l’ordre avaient retrouvé l’accès. C’était la tactique préférée des cybercriminels, explique Oleg Skulkin du Group-IB. Aujourd’hui, le groupe a de nouveau été exclu du réseau.

Selon le rapport, l’attaque réussie contre l’un des groupes de ransomware les plus dangereux a également été précédée d’un changement de stratégie de la part du gouvernement américain. Au début de l’été, le ministère américain de la justice avait décidé que les enquêtes sur les cas de tels chevaux de Troie d’extorsion devaient être considérées comme relevant de la sécurité nationale. Depuis lors, elles seraient traitées avec la priorité autrement réservée aux enquêtes sur le terrorisme. Cela avait été la base légale pour impliquer les agences de renseignement et l’armée américaine. « Avant, il était impossible de pirater ces forums et les militaires ne voulaient pas avoir affaire à eux. Après, les gants sont tombés », explique Tom Kellermann de VMWare.

Selon le rapport, l’escalade a commencé avec l’attaque perfide contre Kaseya au début du mois de juillet. En utilisant une vulnérabilité dans le logiciel du fournisseur de services informatiques, le groupe avait attaqué des centaines de clients de Kaseya en un seul coup. Ils avaient immédiatement exigé 70 millions de dollars américains en bitcoins pour un « outil de décryptage universel » afin de sauver les données. Plus tard, on a appris que le FBI était entré en possession de la clé, qui aurait grandement aidé les victimes, en accédant aux serveurs des cybercriminels depuis la Russie. Cependant, la clé avait été retenue afin de préparer une attaque majeure contre REvil. La contre-attaque majeure n’a cependant jamais eu lieu, car REvil a soudainement disparu de la scène. Quelques jours plus tard, la clé a été remise à Kaseya – trois semaines après la capture.